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计算 机 技术 和 网 络 技术 的 高 速 发 展 ， 对 人 类 社会 各 个 方 
面 的 影响 还 在 不 断 加 深 和 发 酵 ; 从 博客 、BBS、 微 博 到 时 下 
流行 的 微 信 ; 从 电脑 台式 机 、 一 体 机 、 笔 记 本 电脑 到 现在 的 
平板 电脑 和 移动 终端 ;从 现金 支付 、 刷 卡 支付 到 网 上 支付 和 
现在 的 扫 码 支付 ， 从 商场 购物 到 网 上 购物 等 ， 都 能 看 到 计算 
机 技术 和 网 络 技术 的 发 展 对 人 们 生活 的 影响 无 处 不 在 。 


笔者 从 20 世 纪 90 年 代 上 大 学 ， 及 后 来 攻读 硕士 学 位 时 ， 
学 习 的 都 是 计算 机 专业 。 毕 业 后 工作 直到 现在 ， 一 直 从 事 计 
算 机 和 网 络 相关 的 工作 ， 接 触 到 了 局 域 网 、 园 区 网 、 城 域 网 
和 跨 区 域 网 的 设计 、 实 现 和 管理 的 全 过 程 ， 经 历 了 从 局 域 网 
到 互联 网 那 激 动人 心 的 变化 。 


目前 ， 计 算 机 网 络 技术 方面 的 书籍 往往 只 介绍 某 一 方面 
的 技术 ， 而 且 大 多 数 书籍 偏重 于 原理 、 理 论 方面 知识 ， 这 对 
操作 和 实践 性 非常 强 的 网 络 运 维 来 说 ， 是 一 个 很 大 的 缺憾 。 
尤其 对 于 在 校 的 大 学 生 ， 因 为 学 校 客观 环境 的 限制 ， 不 可 能 
拥有 像 在 公司 和 企业 中 的 实际 网 络 环境 ， 学 习 的 参考 书 也 是 
包含 过 多 的 理论 知识 ， 学 习 起 来 常常 是 一 头 雾 水 ， 摸 不 着 头 
脑 。 而 计算 机 网 络 知识 的 学 习 ， 必 须 通过 真实 项 目的 全 过 程 
实践 ， 才 能 真正 地 掌握 网 络 理论 知识 。 


本 书 是 笔者 在 多 年 的 网 络 运 维 实践 中 逐渐 总 结 积累 下 来 的 
经 验 所 得 ， 读 者 只 需 对 照 书 中 的 每 一 个 运 维 实例 的 操作 步骤 ， 
一 步 步 操作 ， 就 可 以 解决 相同 或 类 似 的 网 络 故 障 。 同 时 ， 在 
操作 完成 后 ， 包 含 于 其 中 的 计算 机 网 络 知识 也 会 了 然 于 胸 。 
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本 书 共 包括 8 章 内容 ， 第 1 一 3 章 介绍 了 常用 的 网 络 二 、 三 层 协议 ， 包 括 IP、 
HSRP、GVRP、VTP 协 议和 Trunk 技 术 ， 以 及 网 络 运 维 中 的 一 些 技巧 ， 如 最 简单 
的 Ping 和 Telnet 工 具 等 。 第 4 一 6 章 介绍 了 当前 用 户 比较 关注 的 网 络 问题 和 热门 的 
网 络 技术 ， 如 网 络 安全 、 虚 拟 化 、 了 Pv6 和 无 线 网 络 等 。 第 7 一 8 章 介 绍 了 和 网 络 运 
维 相关 的 其 他 计算 机 应 用 技术 ， 如 应 用 系统 和 网 络 排查 工具 等 。 


一 个 人 的 进步 离 不 开 周围 人 的 关心 和 帮助 ， 在 此 感谢 我 的 家 人 ， 一 直 以 来 对 
我 工作 的 支持 ;感谢 我 的 同事 们 ， 在 我 工作 遇 到 困难 时 ， 总 是 蔡 我 排忧解难 ， 也 
感谢 本 书 的 编辑 栾 大 成 ， 要 是 没有 他 的 “ 金 点 子 ” 及 合理 的 建议 ， 本 书 也 不 会 这 
么 快 和 大 家 见面 的 。 


由 于 笔者 水 平和 经 验 有 限 ， 书 中 还 存在 不 少 缺 点 和 不 足 ， 敬 请 广大 读者 批评 
指正 ， 万 分 感谢 ! 


目前 ， 绝 大 多 数 单位 运行 的 计算 机 网 络 都 是 基于 TCP/ 
IP 协 议 的 ， 若 网 络 是 无 线 网 络 ， 则 在 二 层 是 基于 802.11 协 议 
的 ， 例 如 ， 使 用 最 普遍 的 移动 终端 手机 、 平 板 电 脑 、 笔 记 本 
电脑 等 接 入 到 无 线 局 域 网 WLAN， 也 就 是 接 入 到 WIFI， 这 些 
终端 上 肯定 会 拥有 一 个 人 P 地 址 ， 移 动 终端 和 无 线路 由 器 或 者 无 
线 AP 的 连接 通信 方式 就 是 使 用 802.11 方 式 的 。 


车 用 户 是 使 用 台式 机 通过 网 线 或 光纤 连接 到 网 络 上 网 
时 ， 台 式 机 上 也 肯定 会 有 一 个 IP 地 址 ， 台 式 机 通过 办 公 室 中 
的 信息 点 再 连接 到 交换 机 上 ， 台 式 机 和 交换 机 之 间 的 数据 通 
信 在 二 层 上 就 是 使 用 802.3 协 议 的 。 


上 面 列举 的 用 户 终端 通过 两 种 不 同 的 连接 方式 访问 网 
络 时 ， 虽 然 它 们 在 二 层 上 使 用 的 协议 和 技术 是 不 一 样 的， 但 
它们 在 三 层 、 四 层 上 运行 的 方式 ， 或 使 用 的 协议 是 完全 一 致 
的 ， 三 层 上 主要 就 是 耳 协议 ， 它 最 主要 的 特征 就 是 每 台 终端 
上 的 了 地 址 。 四 层 上 主要 就 是 TCP 和 UDP 协议 ， 最 主要 的 特 
征 就 是 端口 号 ，TCP 和 UDP 的 端口 号 范围 都 是 1 一 65535。 

上 面 说 了 很 多 “二 、 三 层 ” 的 事 ， 那 一 层 是 干什么 的 ? 
一 层 就 是 物理 层 ， 像 上 面 说 的 台式 机 通过 网 线 或 光纤 连接 到 
交换 机 ， 网 线 、 光 纤 和 交换 机 上 的 电 口 、 光 口 等 ， 这 些 都 是 
一 层 即 物理 层 上 的 。 

那 网 络 运 维 师 的 日 常 工作 范围 ， 基 本 上 就 在 这 一 一 四 
层 ， 如 图 0-1 所 示 。 若 是 连接 到 电脑 上 的 网 线 接触 不 好 导致 用 
户 不 能 访问 网 络 ， 那 就 是 一 层 和 二 层 出 问题 了 ; 若是 用 户 终 
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端的 人 P 地 址 有 错误 ， 那 是 三 层 有 问题 了 ; 若是 有 用 户 反 映 他 访问 办 公 应 用 系统 正 
常 ， 但 是 访问 不 了 财务 应 用 系统 ， 那 有 可 能 就 是 四 层 出 问题 了 ， 因 为 应 用 系统 都 
是 和 端口 进行 关联 的 。 有 的 应 用 系统 能 够 正常 使 用 ， 有 的 不 正常 ， 那 说 明 网 络 没 
有 问题 ， 网 络 是 通 的 ， 有 一 种 可 能 就 是 网 络 中 的 防火 墙 把 财务 应 用 系统 的 端口 进行 
了 限制 和 阻止 ， 而 没有 限制 和 阻止 办 公 应 用 系统 的 ， 所 以 就 有 了 上 面 的 故障 现象 。 


OSI 参考 模型 TCP/IP 分 层 模型 

7 || ”应 用 层 系 
统 
6 | ”表示 层 |) < 一 >| ”应 用 层 冯 
5 会 话 层 师 

4 | ”传输 层 |< 一 一 > | 传输 层 
3 | ”网 络 层 |< 一 一 > | ”网 际 层 册 
2 | 数据 链 路 层 网 络 接口 后 
(数据 链 路 层 + | ”| 师 

1 物理 层 物理 层 ) 


图 0-1 运 维 工程 师 工作 范围 


曾经 微 信 上 有 一 篇 很 火 的 文章 ， 标 题 是 《有 一 种 机 房 叫 别人 家 的 机 房 》， 文 
章 主要 是 用 图 片 的 形式 进行 讲述 的 ， 我 这 里 拣 其 中 对 比 明显 的 几 张贴 上 来 : 


网 络 运 维 这 点 事 


对 比 是 很 明显 的 ， 这 也 从 一 个 侧面 说 明 ， 国 内 一 些 网 络 机 房 确实 是 存在 管理 
疏松 ， 在 布线 、 接 线 上 不 严谨 ， 不 按 要 求 和 标准 来 ， 私 拉 乱 扯 。 不 过 这 几 张 图 的 
对 比 也 有 些 太 夸张 了 ， 我 们 大 部 分 的 机 房 布线 还 是 很 整齐 、 很 漂亮 的 ， 不 比 国外 
“人 家 家 的 ” 差 ， 有 些 甚至 还 要 比 他 们 的 好 。 

另外 ， 我 想 说 的 是 ， 就 是 通过 这 几 张 图 ， 能 够 很 直观 地 呈现 出 网 络 运 维 师 的 
工作 环境 。 这 几 张 图 显示 的 一 般 都 是 单位 的 中 心机 房 ， 也 是 网 络 运 维 师 的 主要 工 
作 场 所 。 其 他 的 还 有 各 个 楼 的 分 中 心机 房 及 每 栋 楼 每 层 的 网 络 设备 间 。 另 外 ， 和 
网 络 终端 用 户 及 网 络 安全 设备 供应 商 的 工程 师 进 行 交流 、 沟 通 和 学 习 ， 也 是 网 络 
运 维 师 日 常 工作 的 一 部 分 。 

好 了 ， 说 了 这 人 么 多 云 里 雾 里 的 东西 ， 也 不 知 大 家 能 看 明白 吗 ? 下 面 就 分 8 章 
36 个 实例 具体 说 说 网 络 运 维 师 都 干 些 什么 事 。 
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其 实 ， 在 互联 网 中 用 到 的 网 络 协议 最 多 的 就 是 TCP/IP 协 议 ，TCP/IP 是 
Transmission Control Protocol/Internet Protocol 的 简写 ， 中 译名 为 传输 控制 协议 / 因 
特 网 互联 协议 。 现 在 我 们 上 班 所 在 的 公司 和 办 公 室 ， 包 括 常 常 拿 在 手 上 的 手机 都 
连 入 了 互联 网 。 若 是 还 没有 联网 ， 那 就 实在 太 落 伍 了 。 每 天 一 上 班 ， 坐 在 办 公 桌 
前 ， 打 开 电 脑 浏 览 器 开始 看 邮箱 和 今天 的 新 闻 时 ，TCP/IP 协 议 在 你 的 电脑 中 就 开 
始 起 作用 了 。 


现在 ， 英 语 是 世界 上 最 通用 的 语言 ， 无 论 你 到 哪 一 个 国家 ， 只 要 你 和 对 方 
都 会 说 英语 ， 那 你 们 之 间 就 可 以 进行 对 话 交流 了 。 同 样 ， 在 Internet 中 ， 只 要 连 
入 其 中 的 终端 遵守 TCP/IP 协 议 ， 它 就 可 以 和 连 入 Internet 中 的 其 他 终端 进行 通信 
了 。 也 就 是 说 TCP/IP 协 议 组 就 类 似 一 门 语言 。 


TCP/IP 协 议 又 名 网 络 通信 协议 ， 是 Internet 最 基本 的 协议 ， 也 是 Internet 国 际 
互联 网 络 的 基础 。TCP/IP 定义 了 电子 设备 如 何 连 入 因特网 及 数据 如 何在 它们 之 
间 传 输 的 标准 。 协 议 采 用 了 4 层 的 层级 结构 ， 每 一 层 都 呼叫 它 的 下 一 层 所 提供 的 
协议 来 完成 自己 的 需求 。 通 俗 而 言 : TCP 负 责 发 现 传输 的 问题 ， 一 有 问题 就 发 出 
信号 ， 要 求 重 新 传输 ， 直 到 所 有 数据 安全 正确 地 传输 到 目的 地 。 而 卫 是 给 因特网 
的 每 一 台 联 网 设备 规定 一 个 地 址 。 


TCP/IP 协 议 不 是 TCP 和 IP 这 两 个 协议 的 合 称 ， 而 是 指 因特网 整个 TCP/IP 协 议 
族 。 从 协议 分 层 模型 方面 来 讲 ，TCP/IP 由 4 个 层次 组 成 : 网 络 接 口 层 、 网 络 层 、 
传输 层 、 应 用 层 。 


TCP/IP 协 议 并 不 完全 符合 OSI(Open System Interconnect) 的 7 层 参 考 模型 ，OSI 
是 传统 的 开放 式 系统 互 连 参 考 模型 ， 是 一 种 通信 协议 的 7 层 抽象 的 参考 模型 ， 其 
中 每 一 层 执行 某 一 特定 任务 。 该 模型 的 目的 是 使 各 种 硬件 在 相同 的 层次 上 相互 
通信 。 这 7 层 是 物理 层 、 数 据 链 路 层 、 网 络 层 、 传 输 层 、 会 话 层 、 表 示 层 和 应 用 
层 。 而 TCP/IP 通 信 协 议 采 用 了 四 层 的 层级 结构 ， 每 一 层 都 呼叫 它 的 下 一 层 所 提供 
的 网 络 来 完成 自己 的 需求 。 
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1.1 网 络 三 层 协议 概述 


1.1.1 1P 协 议 


IP(Internet ProtocoD)， 网 络 之 间 互 连 的 协议 ， 是 为 计算 机 网 络 相互 连接 进行 
通信 而 设计 的 协议 。 在 因特网 中 ， 它 是 能 使 连接 到 网 上 的 所 有 计算 机 网 络 实现 相 
互通 信 的 一 套 规 则 ， 规 定 了 计算 机 在 因特网 上 进行 通信 时 应 当 遵守 的 规则 。 任 何 
厂家 生产 的 计算 机 系统 ， 只 要 遵守 人 P 协 议 就 可 以 与 因特网 互 连 互通 。 


IPv6 是 Internet Protocol Version 6 的 缩写 ， 它 是 IETF(Intemet Engineering Task 
Force， 互 联网 工程 任务 组 ) 设 计 的 用 于 替代 现行 版 本 IPv4 的 下 一 代 IP 协 议 。 


IPv4 地 址 分 为 5 类 : A 类 保留 给 政府 机 构 ，B 类 分 配给 中 等 规模 的 公司 ，C 类 
分 配给 任何 需要 的 人 ，D 类 用 于 组 播 ，E 类 用 于 实验 。 各 类 可 容纳 的 地 址 数目 不 
同 。 当 将 耳 地 址 写成 二 进 制 形式 时 ，A 类 地 址 的 第 1 位 总 是 0，B 类 地 址 的 前 2 位 总 
是 10，C 类 地 址 的 前 3 位 总 是 110。 


1. A 类 地 址 


(1)A 类 地 址 第 1 字 节 为 网 络 地 址 ， 其 他 3 个 字 节 为 主机 地 址 。 它 的 第 1 个 字 节 
的 第 1 位 固定 为 0。 


(2)A 类 地 址 网 络 号 范围 : 1.0.0.0 一 126.0.0.0。 
(3)A 类 地 址 中 的 私有 地 址 和 保留 地 址 如 下 : 


@10.XX.X 是 私有 地 址 (在 互联 网 上 不 使 用 ， 而 被 用 在 局 域 网 络 中 的 地 址 )。 
范围 为 10.0.0.0 一 10.255.255.255。 


@127XXX 是 保留 地 址 ， 用 作 循环 测试 。 
2. B 类 地 址 


(1)B 类 地 址 第 1 字 节 和 第 2 字 节 为 网 络 地 址 ， 其 他 2 个 字 节 为 主机 地 址 。 它 的 
第 1 个 字 节 的 前 2 位 固定 为 10。 
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(2)B 类 地 址 网 络 号 范围 : 128.0.0.0 一 191.255.0.0。 
(3)B 类 地 址 的 私有 地 址 和 保留 地 址 如 下 : 
@172.16.0.0~172.31.255.255 是 私有 地 址 。 


@169.254.X.X 是 保留 地 址 。 如 果 你 的 耳 地 址 是 自动 获取 耳 地 址 ， 而 在 网 络 上 
又 没有 找到 可 用 的 DHCP 服 务 器 ， 就 会 获取 其 中 一 个 人 P 地 址 。 


3. C 类 地 址 


(DC 类 地 址 第 1 字 节 、 第 2 字 节 和 第 3 个 字 节 为 网 络 地 址 ， 第 4 个 字 节 为 主机 地 
址 。 另 外 第 1 个 字 节 的 前 3 位 固定 为 110。 


(2)C 类 地 址 网 络 号 范围 : 192.0.0.0 一 223.255.255.0。 

(3)C 类 地 址 中 的 私有 地 址 如 下 : 
192.168.X.X(192.168.0.0~192.168.255.255) 是 私有 地 址 。 

4. D 类 地 址 

(1)D 类 地 址 不 分 网 络 地 址 和 主机 地 址 ， 它 的 第 1 个 字 节 的 前 4 位 固定 为 1110。 
(2)D 类 地 址 范围 ，224.0.0.0~239.255.255.255。 

5. E 类 地 址 

(1)E 类 地 址 不 分 网 络 地 址 和 主机 地 址 ， 它 的 第 1 个 字 节 的 前 5 位 固定 为 11110。 
(2)E 类 地 址 范围 ，240.0.0.0~255.255.255.254。 


JP 地 址 如 果 只 使 用 ABCDE 类 来 划分 ， 会 造成 大 量 的 浪费 。 比 如 一 个 有 500 台 
主机 的 网 络 ， 无 法 使 用 C 类 地 址 。 但 如 果 使 用 一 个 B 类 地 址 ，6 万 多 个 主机 地 址 
只 有 500 个 被 使 用 ， 造 成 了 地 址 的 大 量 浪 费 。 因 此 ， 卫 地 址 还 支持 VLSM(Variable 
Length Subnet Mask， 可 变 长 子 网 掩 码 ) 技 术 ， 可 以 在 ABC 类 网 络 的 基础 上 ， 进 一 
步 划 分 子 网 。 


1.1.2 热 备份 协议 


1. HSRP 


HSRP(Hot Standby Router Protocol) 热 备份 路 由 器 协议 ， 是 思科 的 私有 协议 。 
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该 协议 中 含有 多 台 路 由 器 ， 对 应 一 个 HSRP 组 。 该 组 中 只 有 一 个 路 由 器 承担 转发 
用 户 流量 的 职责 ， 这 就 是 活动 路 由 器 。 当 活动 路 由 器 失效 后 ， 备 份 路 由 器 将 承担 
该 职责 ， 成 为 新 的 活动 路 由 器 。 

但 是 在 本 网 络 内 的 主机 看 来 ， 虚 拟 路 由 器 没有 改变 。 所 以 主机 仍然 保持 连 
接 ， 没 有 受到 故障 的 影响 ， 这 样 就 较 好 地 解决 了 路 由 器 切换 的 问题 ， 这 就 是 热 备 
份 的 原理 。 


为 了 减少 网 络 的 数据 流量 ， 在 设置 完 活动 路 由 器 和 备份 路 由 器 之 后 ， 只 有 活 
动 路 由 器 和 备份 路 由 器 定时 发 送 HSRP 报 文 。 如 果 活 动 路 由 器 失效 ， 备 份 路 由 器 
将 接管 成 为 活动 路 由 器 。 如 果 备 份 路 由 器 失效 或 者 变 成 了 活动 路 由 器 ， 将 由 另外 
的 路 由 器 接管 成 为 备份 路 由 器 。 


负责 转发 数据 包 的 路 由 器 称 之 为 活动 路 由 器 (Active Router)， 一 旦 主动 路 由 
器 出 现 故 障 ，HSRP 将 激活 备份 路 由 器 (Standby Routers) 取 代 主 动 路 由 器 。HSRP 
协议 提供 了 一 种 决定 使 用 主动 路 由 器 还 是 备份 路 由 器 的 机 制 ， 并 指定 一 个 虚拟 
的 IP 地 址 作为 网 络 系统 的 缺 省 网 关 地 址 。 如 果 主 动 路 由 器 出 现 故 障 ， 备 份 路 由 器 
(Standby Routers) 承 接 主 动 路 由 器 的 所 有 任务 ， 并 且 不 会 导致 主机 连通 中 断 现象 。 


HSRP 运行 在 UDP 上 ， 采 用 端口 号 1985。 路 由 器 转发 协议 数据 包 的 源 地 址 使 
用 的 是 实际 卫 地 址 ， 而 并 非 虚拟 地 址 ， 正 是 基于 这 一 点 ，HSRP 路 由 器 间 能 相互 
识别 。 


HSRP 协 议 利 用 一 个 优先 级 方案 来 决定 哪个 配置 了 HSRP 协 议 的 路 由 器 成 为 
默认 的 主动 路 由 器 。 如 果 一 个 路 由 器 的 优先 级 设置 的 比 所 有 其 他 路 由 器 的 优先 级 
高 ， 则 该 路 由 器 成 为 主动 路 由 器 。 路 由 器 的 缺 省 优先 级 是 100， 所 以 如 果 只 设置 
一 个 路 由 器 的 优先 级 高 于 100， 则 该 路 由 器 将 成 为 主动 路 由 器 。 

通过 在 设置 了 HSRP 协 议 的 路 由 器 之 间 发 组 播 (地 址 为 224.0.0.2) 来 得 知 各 自 的 
HSRP 优 先 级 ，HSRP 协 议 选 出 当前 的 主动 路 由 器 。 当 在 预先 设 定 的 一 段 时 间 内 主 
动 路 由 器 不 能 发 送 Hello 消 息 时 ， 优 先 级 最 高 的 备用 路 由 器 变 为 主动 路 由 器 。 路 
由 器 之 间 的 包 传输 对 网 络 上 的 所 有 主机 来 说 都 是 透明 的 。 


配置 了 HSRP 协 议 的 路 由 器 交换 以 下 3 种 组 播 消 息 : 


Hello 消 息 : Hello 消 息 通知 其 他 路 由 器 发 送 路 由 器 的 HSRP 优 先 级 和 状态 信 
息 ，HSRP 路 由 器 默认 为 每 3 秒 钟 发 送 一 个 Hello 消 息 。 
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Coup 消 息 : 当 一 个 备用 路 由 器 变 为 一 个 主动 路 由 器 时 发 送 一 个 coup 消 息 。 


Resign 消 息 : 当主 动 路 由 器 要 宕 机 或 者 当 有 优先 级 更 高 的 路 由 器 发 送 Hello 消 
息 时 ， 主 动 路 由 器 发 送 一 个 Resign 消 息 。 

HSRP 的 两 个 定时 器 : 

HSRP 使 用 两 个 定时 器 ，Hello 间 隔 和 Hold 间 隔 。 默 认 的 Hello 间 隔 是 3 秒 ， 默 
认 的 Hold 间 隔 是 10 秒 。Hello 间 隔 定义 了 两 组 路 由 器 之 间 交 换 信息 的 频率 。Hold 
间隔 定义 了 经 过 多 长 时 间 后 ， 没 有 收 到 其 他 路 由 器 的 信息 ， 则 活动 路 由 器 或 者 备 
用 路 由 器 就 会 被 宣告 为 失败 。 配 置 计时 器 并 不 是 越 小 越 好 ， 虽 然 计 时 器 越 小 则 切 
换 时 间 越 短 。 计 时 器 的 配置 需要 和 STP 等 的 切换 时 间 相 一 致 。 另 外 ，Hold 间 隔 最 
少 应 该 是 Hello 间 隔 的 3 倍 。 

在 任 一 时 刻 ， 配 置 了 HSRP 协 议 的 路 由 器 都 将 处 于 以 下 6 种 状态 之 一 : 

Initial 状 态 : HSRP 启 动 时 的 状态 ，HSRP 还 没有 运行 ， 一 般 是 在 改变 配置 或 
端口 刚刚 启动 时 进入 该 状态 。 

Learn 状 态 : 学 习 状态 ， 不 知道 虚拟 卫 ， 未 看 到 活跃 路 由 器 发 Hello， 等 待 活 
动 路 由 器 发 hello。 


Listen 状 态 : 路 由 器 已 经 得 到 了 虚拟 IP 地 址 ， 但 是 它 既 不 是 活动 路 由 器 也 不 
是 等 待 路 由 器 。 它 一 直 监 听从 活动 路 由 器 和 等 待 路 由 器 发 来 的 Hello 报 文 。 


Speak 状 态 ， 在 该 状态 下 ， 路 由 器 定期 发 送 Hello 报 文 ， 并 且 积极 参加 活动 路 
由 器 或 等 待 路 由 器 的 竞选 。 


Standby 状 态 : 当主 动 路 由 器 失效 时 路 由 器 准备 接管 包 传输 功能 。 
Active 状 态 : 路 由 器 执行 包 传输 功能 。 
2. VRRP 


VRRP(Virtual Router Redundancy ProtocoD) 虚 拟 路 由 完 余 协议 ， 是 由 IETF( 国 
际 互联 网 工程 任务 组 ) 提 出 的 解决 局 域 网 中 配置 静态 网 关 出 现 单 点 失效 现象 的 路 
由 协议 。 

VRRP 是 一 种 选择 协议 ， 它 可 以 把 一 个 虚拟 路 由 器 的 责任 动态 分 配 到 局 域 网 
上 的 VRRP 路 由 器 中 的 一 台 。 控 制 虚拟 路 由 器 下地 址 的 VRRP 路 由 器 称 为 主 路 由 
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器 ， 它 负责 转发 数据 包 到 这 些 虚拟 耳 地 址 。 一 旦 主 路 由 器 不 可 用 ， 这 种 选择 过 程 
就 提供 了 动态 的 故障 转移 机 制 ， 这 就 允许 虚拟 路 由 器 的 卫 地 址 可 以 作为 终端 主机 
的 默认 第 一 跳 路 由 器 。 一 个 局 域 网 络 内 的 所 有 主机 都 设置 缺 省 网 关 ， 这 样 主机 发 
出 的 目的 地 址 不 在 本 网 段 的 报 文 将 被 通过 缺 省 网 关 发 往 三 层 交 换 机 ， 当 缺 省 路 由 
器 Down 掉 (端口 关闭 ) 之 后 ， 如 果 路 由 器 设置 了 VRRP 时 ， 那 么 这 时 ， 虚 拟 路 由 将 
启用 备份 路 由 器 ， 从 而 实现 了 主机 和 外 部 网 络 的 通信 。 


VRRP 将 局 域 网 的 一 组 路 由 器 ， 包 括 一 个 Master( 活 动 路 由 器 ) 和 若干 个 
Backup( 备 份 路 由 器 )， 组 织 成 一 个 虚拟 路 由 器 ， 称 之 为 一 个 备份 组 。 这 个 虚拟 的 
路 由 器 拥有 自己 的 IP 地 址 ， 例 如 10.100.10.1， 这 个 IP 地 址 可 以 和 备份 组 内 的 某 
个 路 由 器 的 接口 地 址 相同 ， 相 同 的 则 称 为 IP 拥 有 者 ， 备 份 组 内 的 路 由 器 也 有 自己 
的 IP 地 址 ， 例 如 Master 的 IP 地 址 为 10.100.10.2，Backup 的 IP 地 址 为 10.100.10.3。 
局 域 网 内 的 主机 仅仅 知道 这 个 虚拟 路 由 器 的 IP 地 址 10.100.10.1， 而 并 不 知道 具体 
的 Master 路 由 器 的 IP 地 址 10.100.10.2 以 及 Backup 路 由 器 的 IP 地 址 10.100.10.3。 
它们 将 自己 的 缺 省 路 由 下 一 跳 地 址 设置 为 该 虚拟 路 由 器 的 人 P 地 址 10.100.10.1。 于 
是 ， 网 络 内 的 主机 就 通过 这 个 虚拟 的 路 由 器 来 与 其 他 网 络 进行 通信 。 如 果 备 份 组 
内 的 Master 路 由 器 坏 掉 ，Backup 路 由 器 将 会 通过 选举 策略 选 出 一 个 新 的 Master 
路 由 器 ， 继 续 向 网 络 内 的 主机 提供 路 由 服务 。 从 而 实现 网 络 内 的 主机 不 间断 地 与 
外 部 网 络 进行 通信 。 


3. GLBP 


GLBP(Gateway Load Balancing ProtocoD) 网 关 负 载 均衡 协议 ， 是 思科 的 专 有 协 
议 。 和 HSRP、VRRP 不 同 的 是 ，GLBP 不 仅 提供 元 余 网 关 ， 还 在 各 网 关 之 间 提供 
负载 均衡 ， 而 HSRP、VRRP 都 必须 选 定 一 个 活动 路 由 器 ， 而 备用 路 由 器 则 处 于 
闲置 状态 。GLBP 可 以 绑 定 多 个 MAC 地 址 到 虚拟 了 PP， 从 而 允许 客户 端 通过 获得 不 
同 的 虚拟 MAC 地 址 ， 通 过 不 同 的 路 由 器 转发 数据 ， 因 为 客户 端 利用 的 地 址 是 解 
析 到 的 虚拟 的 MAC 地 址 ， 而 网 关 地 址 仍 使 用 相同 的 虚拟 IP， 从 而 不 但 实现 了 元 
余 还 能 够 负载 均衡 。 

1) 活 动 网 关 选 举 

使 用 类 似 于 HSRP 的 机 制 选举 活动 网 关 ， 优 先 级 最 高 的 路 由 器 成 为 活动 路 由 


器 ， 若 优先 级 相同 则 IP 地 址 最 高 的 路 由 器 成 为 活动 路 由 器 。 称 作 Active Virtual 
Gateway， 其 他 非 AVG 提 供 宛 余 。 某 路 由 器 被 推举 为 AVG 后 ， 和 HSRP 不 同 的 工 
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作 开 始 了 ，AVG 分 配 虚拟 的 MAC 地 址 给 其 他 GLBP 组 成 员 。 所 有 的 GLBP 组 中 的 
路 由 器 都 转发 包 ， 但 是 各 路 由 器 只 负责 转发 与 自己 的 虚拟 MAC 地 址 的 相关 的 数 
据 包 。GLBP 成 员 之 间 通 过 每 3 秒 钟 向 组 播 地址 为 224.0.0.102 的 UDP 端口 3222 发 送 
Hello 数 据 包 ， 来 进行 通信 。 


2) 地 址 分 配 


每 个 GLBP 组 中 最 多 有 4 个 虚拟 MAC 地 址 ， 非 AVG 也 被 称 作 Active Virtual 
Forwarde(AVF)， 非 AVG 路 由 器 由 AVG 按 序 分 配 虚 拟 MAC 地 址 。AVF 分 为 两 类 : 
Primary Virtual Forwarder 和 Secondary Virtual Forwarder。 直 接 由 AVG 分 配 虚 拟 
MAC 地 址 的 路 由 器 被 称 作 Primary Virtual Forwarder， 后 续 不 知道 AVG 真 实 IP 地 址 
的 组 成 员 ， 只 能 使 用 Hello 包 来 识别 其 身份 ， 然 后 被 分 配 虚拟 MAC 地 址 ， 此 类 被 
称 作 Secondary Virtual Forwarder。 


3)GLBP 配 置 


如 果 AVG 失 效 ， 则 推举 就 会 发 生 ， 决 定 哪个 AVF 蔡 代 AVG 来 分 配 MAC 地 
址 ， 推 举 机 制 依赖 于 优先 级 。 最 多 可 以 配置 1 个 GLBP 组 ， 不 同 的 用 户 组 可 以 配置 
成 使 用 不 同 的 组 AVG 来 作为 其 网 关 。 


Cisco#configure terminal 

Cisco(config)#track 100 int f0/0 line-protocol 
// 定 义 跟踪 目标 100 为 £0/0 接 口 的 二 层 故 障 

Cisco (config-if)#exit 

Ciscol(config)#int fastethernet 0/0 
Cisco(config-if)#ip address 10.1.1.1 

Cisco (config-if)#glbp 99 ip 10.1.1.254 

Cisco (config-if)#glbp 99 name TEST 

// 配 置 GLBP 名 字 ， 可 选 


CscofcConGg=iE) lbp 99 timers 3° 10 
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// 配 置 GLBP 的 Hello 时 间 3 秒 和 Hold 时 间 10 秒 

Cisco (config-if)#glbp 99 priority 105 

// 配 置 优先 级 ， 黑 认 是 100， 这 里 为 105 
Cisco (config-if)#glbp 99 preempt 

// 配 置 GLBP 的 路 由 器 会 进行 AVG 抢 占 ， 否 则 priority 再 高 也 不 抢占 
Cisco (config-if)#glbp 99 preempt delay minimum 10 

// 配 置 AVG 的 抢占 延 时 10 秒 
Cisco (config-if)#glbp 99 weighting track100 decrement 50 
// 当 跟踪 目标 100 出 现 故障 的 时 候 权 重 减 50 


Cisco (config-if)#exit 


4)GLBP 的 特性 


负载 分 担 :管理 员 可 以 通过 配置 GLBP， 使 多 台 路 由 器 共同 承载 局 域 网 客户 
端的 流量 ， 从 而 在 多 台 可 用 路 由 器 之 间 实 现 更 为 公平 的 负载 均衡 。 


多 虚拟 路 由 器 : GLBP 在 一 台 路 由 器 的 每 个 物理 接口 上 ， 支 持 多 达 1024 个 虚 
拟 路 由 器 ， 即 GLBP 组 ， 每 个 组 最 多 支持 4 个 虚拟 转发 者 。 


抢占 : GLBP 的 宛 余 性 机 制 允许 当 具 有 更 高 优先 级 的 备用 虚拟 网 关 变 得 可 用 
后 ， 通 过 抢占 机 制 成 为 AVG。 转 发 者 的 抢占 行为 与 此 相似 ， 只 是 转发 者 抢占 使 用 
的 是 加 权 而 不 是 优先 级 ， 且 默认 启用 。 


有 效 的 资源 利用 : GLBP 使 组 中 的 每 台 路 由 器 都 可 以 充当 备用 角色 ， 而 不 需 
要 部 署 一 台 专 用 的 备用 路 由 器 ， 因 为 所 有 可 用 的 路 由 器 都 可 以 承载 网 络 流量 。 


5)GLBP 的 运作 


GLBP 协 议 支 持 3 种 负载 均衡 方式 ， 下 面 是 配置 GLBP 负 载 均衡 时 ， 对 3 个 参 
数 的 解释 。 


Cisco(config-if)#glbp group load-balancing [round-robin | weighted | host- 
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dependent ] 
round-robin: Load balance equally using each forwarder in tum。 
weighted: Load balance in proportion to forwarder weighting。 


host-dependent: Load balance equally, source MAC determines forwarder 
choice。 

第 一 : 根据 ARP 请 求 轮 询 。 循 环 负载 分 担 算法 : 当 客户 端 发 送 ARP 请 求 来 解 
析 默 认 网 关 的 MAC 地 址 时 ， 每 个 客户 端 接收 到 的 ARP 响 应 中 包含 的 MAC 地 址 ， 
是 循环 算法 中 下 一 个 可 用 路 由 器 的 MAC 地 址 。 所 有 路 由 器 的 MAC 地 址 会 被 按 顺 
序 放 入 地 址 解析 响应 中 ， 作 为 默认 网 关 下 地 址 对 应 的 MAC 地 址 返回 给 客户 端 。 


第 二 : 根据 路 由 器 的 权重 分 配 ， 权 重 越 高 被 分 配 的 可 能 性 越 大 。 加 权 负 载 分 
担 算 法 : 被 定向 到 一 台 路 由 器 的 负载 量 取决 于 该 路 由 器 所 通告 的 加 权 值 。 


第 三 : 根据 不 同 主机 的 源 MAC 地 址 。 主 机 相关 负载 分 担 算法 : 只 要 某 个 
虚拟 MAC 地 址 还 在 GLBP 组 中 参与 流量 转发 ， 就 确保 某 主 机 总 是 使 用 这 个 虚拟 
MAC 地 址 进行 通信 。 


1.1.3 ”DHCP 协议 


DHCP(Dynamic Host Configure Protocol， 动 态 主 机 配置 协议 )， 是 一 个 局 域 网 
的 网 络 协议 ， 使 用 UDP 协议 工作 ， 主 要 有 两 个 用 途 : 一 是 给 内 部 网 络 或 网 络 服务 
供应 商 自 动 分 配 耳 地 址 ， 二 是 给 用 户 或 者 内 部 网 络 管理 员 作 为 对 所 有 计算 机 作 中 
央 管 理 的 手段 。DHCP 有 3 个 端口 ， 其 中 UDP 67 和 UDP 68 为 正常 的 DHCP 服 务 端 
口 ， 分 别 作 为 DHCP Server 和 DHCP Client 的 服务 端口 。 


在 一 个 使 用 TCP/P 协 议 的 网 络 中 ， 每 一 台 计 算 机 都 必须 至 少 有 一 个 卫 地 址 ， 
才能 与 其 他 计算 机 连接 通信 。 为 了 便于 统一 规划 和 管理 网 络 中 的 了 地 址 ，DHCP 
应 运 而 生 了 。 这 种 网 络 服务 有 利于 对 校园 网 络 中 的 客户 机 JP 地址 进行 有 效 管理 ， 
而 不 需要 一 个 一 个 手动 指定 耳 地 址 。 


DHCP 用 一 台 或 一 组 DHCP 服 务 器 来 管理 网 络 参 数 的 分 配 ， 这 种 方案 具有 容 
错 性 。 即 使 在 一 个 仅 拥有 少量 机 器 的 网 络 中 ，DHCP 仍 然 是 有 用 的 ， 因 为 一 台 机 
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器 可 以 几乎 不 造成 任何 影响 地 被 增加 到 本 地 网 络 中 。 


甚至 对 于 那些 很 少 改变 地 址 的 服务 器 来 说 ，DHCP 仍 然 被 建议 用 来 设置 它们 
的 地 址 。 如 果 服 务 器 需要 被 重新 分 配 地 址 的 时 候 ， 就 可 以 在 尽 可 能 少 的 地 方 去 做 
这 些 改动 。 对 于 一 些 设备 ， 如 路 由 器 和 防火 墙 ， 则 不 应 使 用 DHCP。 把 TFTP 或 
SSH 服 务 器 放 在 同一 台 运行 DHCP 的 机 器 上 也 是 有 用 的 ， 目 的 是 为 了 集中 管理 。 


DHCP 也 可 用 于 直接 为 服务 器 和 桌面 计算 机 分 配 地 址 ， 并 且 通 过 一 个 PPP 代 
理 ， 也 可 为 拨号 及 宽带 主机 及 住宅 NAT 网 关 和 路 由 器 分 配 地 址 。DHCP 一 般 不 适 
用 于 使 用 在 无 边际 路 由 器 和 DNS 服务 器 上 。 


1.1.4 ”NAT 技术 


NAT(Network Address Translation) 网 络 地 址 转换 ， 当 在 专用 网 内 部 的 一 些 主 
机 本 来 已 经 分 配 到 了 本 地 IP 地 址 ， 但 现在 又 想 和 因特网 上 的 主机 通信 时 ， 可 使 
用 NAT 方 法 。NAT 的 实现 方式 有 3 种 :静态 转换 (Static NAT)、 动 态 转换 (Dynamic 
NAT) 和 端口 多 路 复 用 (Port Address Translation)。 


静态 NAT 设 置 起 来 最 为 简单 ， 内 部 网 络 中 的 每 个 主机 都 被 永久 映射 成 外 部 网 
络 中 的 某 个 合法 的 地 址 。 静 态 转换 是 指 将 内 部 网 络 的 私有 了 P 地 址 转换 为 公有 下地 
址 ，IP 地 址 对 是 一 对 一 的 ， 是 一 成 不 变 的 ， 某 个 私有 到 地 址 只 转换 为 某 个 公有 IP 
地 址 。 借 助 于 静态 转换 ， 可 以 实现 外 部 网 络 对 内 部 网 络 中 某 些 特定 设备 如 服务 器 
的 访问 。 

动态 NAT 是 指 将 内 部 网 络 的 私有 到 地 址 转换 为 公用 下 地 址 时 ，IP 地 址 是 不 确 
定 的 ， 是 随机 的 ， 所 有 被 授权 访问 上 Intemet 的 私有 IP 地 址 可 随机 转换 为 任何 指定 
的 合法 人 P 地 址 。 也 就 是 说 ， 只 要 指定 哪些 内 部 地 址 可 以 进行 转换 以 及 用 哪些 合法 
地 址 作为 外 部 地 址 时 ， 就 可 以 进行 动态 转换 。 动 态 转换 可 以 使 用 多 个 合法 外 部 地 
址 集 。 当 ISP 提 供 的 合法 IP 地 址 略 少 于 网 络 内 部 的 计算 机 数量 时 ， 就 可 以 采用 动 
态 转 换 的 方式 。 


端口 多 路 复 用 是 指 改变 外 出 数据 包 的 源 端口 并 进行 端口 转换 ， 即 端口 地 址 转 
换 。 内 部 网 络 的 所 有 主机 均 可 共享 一 个 合法 外 部 人 P 地 址 实现 对 Intemet 的 访问 ， 从 
而 可 以 最 大 限度 地 节约 人 P 地 址 资源 。 同 时 ， 又 可 隐藏 网 络 内 部 的 所 有 主机 ， 有 效 
避免 来 自 Intemet 的 攻击 。 因 此 ， 目 前 网 络 中 应 用 最 多 的 就 是 端口 多 路 复 用 方式 。 
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在 配置 网 络 地 址 转换 的 过 程 之 前 ， 首 先 必须 搞 清楚 内 部 接口 和 外 部 接口 ， 以 
及 在 哪个 外 部 接口 上 启用 NAT。 通 常情 况 下 ， 连 接 到 用 户 内 部 网 络 的 接口 是 NAT 
内 部 接口 ， 而 连接 到 外 部 网 络 的 接口 是 NAT 外 部 接口 。 


假设 内 部 局 域 网 使 用 的 ]P 地 址 段 为 192.168.0.1 一 192.168.0.254， 路 由 器 局 
域 网 端 ( 默 认 网 关 ) 的 JP 地址 为 192.168.0.1， 子 网 掩 码 为 255.255.255.0。 网 络 分 配 
的 合法 IP 地 址 范围 为 61.159.62.128~61.159.62.135， 路 由 器 在 广域网 中 的 IP 地 
址 为 61.159.62.129， 子 网 掩 码 为 255.255.255.248， 可 用 于 转换 的 IP 地 址 范围 为 
61.159.62.130 一 61.159.62.134。 要 求 将 内 部 网 址 192.168.0.2 一 192.168.0.6 分 别 转换 
为 合法 卫 地 址 61.159.62.130 一 61.159.62.134。 


第 一 步 ， 设 置 外 部 端口 。 

interface serial 0 

Lp address OL. ul59562.42912525252552552248 

ip nat outside 

第 二 步 ， 设 置 内 部 端口 。 

interface ethernet 0 

ip address 192.168.0.1 255.255.255.0 

ip nat inside 

第 三 步 ， 在 内 部 本 地 与 外 部 合法 地 址 之 间 建 立 静态 地 址 转换 。 

ip nat inside source static 内 部 本 地 地 址 外 部 合法 地 址 
示例 : ip nat inside source static 192.168.0.2 61.159.62.130 


// 将 内 部 网 络 地 址 192 .168 .0 .2 转换 为 合法 IP 地 址 61 .159.62.130 


至 此 ， 静 态 地 址 转换 配置 完毕 。 
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1.2 运 维 实例 : 莫名 奇妙 的 下地 址 冲突 


网 络 运 维 师 在 工作 中 遇 到 的 网 络 问题 ， 故 障 现象 都 是 千变万化 、 多 种 多 样 
的 。 所 以 也 不 能 用 单一 、 固 定 的 方法 或 知识 去 解决 它们 ， 必 须根 据 实际 的 故障 现 
象 ， 结 合 自己 的 工作 经 验 ， 运 用 多 种 方法 和 知识 灵活 地 排除 故障 。 下 面 就 是 自己 
在 实际 工作 中 碰 到 的 一 则 故障 实例 ， 通 过 对 故障 现象 的 分 析 和 故障 的 排除 过 程 来 
说 明 排除 网 络 故障 并 不 是 一 件 简 简 单单 的 事情 。 


图 1-1 公司 网 络 服务 器 部 署 图 


1. 公司 网 络 服务 器 部 署 架 构 


网 络 中 的 服务 器 部 署 结构 图 ， 如 图 1-1 所 示 。 为 了 确保 重要 设备 的 稳定 性 和 
元 余 性 ， 核 心 层 交 换 机 使 用 两 台 Cisco4506， 通 过 Trunk 线 连接 。 在 核心 交换 机 上 
连接 有 单位 重要 的 服务 器 ， 如 安全 中 心 、DHCP、E-MAIL 和 WEB 服 务 器 等 。 单 
位 卫 地 址 的 部 署 ， 使 用 的 是 B 类 私有 172 网 段 的 地 址 。 其 中 ， 连 接 在 Cisco4506A 
上 的 FTP 服 务 器 、WEB 服 务 器 和 流 媒体 服务 器 都 是 戴尔 牌 的 ， 打 印 服务 器 是 IBM 
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的 。 连 接 在 Cisco4506B 上 的 安全 中 心服 务 器 和 DHCP 服 务 器 是 戴尔 的 ，E-MAIL 
服务 器 是 HP 的 ， 认 证 服务 器 是 [BM 的。 


两 台 Cisco4506 之 间 的 连接 情况 及 Cisco4506A 和 服务 器 间 的 连接 情况 如 下 
所 示 : 


Cisco4506A GigabitEthernet 1/1 <-==-=-> Cisco4506B 
GigabitEthernet 1/1 


Cisco4506A GigabitEthernet 4/1 <----> FTP Server Eth0 
Cisco4506A GigabitEthernet 4/2 <----> Web Server Eth0 
Cisco4506A GigabitEthernet 4/3 <----> 流 媒 体 服 务 器 Eth0 


Cisco4506A GigabitEthernet 4/4 <----> 打印 服务 器 Eth0 


Cisco4506B 和 服务 器 之 间 的 连接 情况 如 下 所 示 : 


Cisco4506B GigabitEthernet 4/1 <----> 安全 中 心服 务 器 Eth0 
Cisco4506B GigabitEthernet 4/2 <----> DHCP Server Eth0 


Cisco4506B GigabitEthernet 4/3 <----> E-Mail Server 
Eth0 


Cisco4506B GigabitEthernet 4/4 <----> 认证 服务 器 Eth0 


2. 核心 交换 机 的 网 络 配置 情况 
Cisco4506A 上 的 配置 如 下 所 示 : 


Cisco4506A#VLAN database 


Cisco4506A (VLAN) #VLAN 2 
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Cisco4506A (VLAN) #apply 

Cisco4506A (config)#interface range gigabitEthernet 4/1-4 
Cisco4506A (config-if-range)# switchport 

Cisco4506A (config-if-range)#switchport access VLAN 2 
Cisco4506A (config)#int VLAN 2 

Cisco4506A (config-if)#ip address 172.16.2.252 255.255.255.0 
// 创 建 VLAN 2 的 SVI 接 口 ， 并 指定 IP 地 址 

Cisco4506A (config-if)#no shutdown 

Cisco4506A (config-if)standby 2 priority 250 preempt 
Cisco4506A (config-if)standby 2 ip 172.16.2.254 

/ /配置 VLAN 2 的 HSRP 参 数 

Cisco4506A (config)#int VLAN 12 

Cisco4506A (config-if)#ip address 172.16.12.252 255.255.255.0 
Cisco4506A (config-if)#no shutdown 

Cisco4506A (config-if) standby 12 priority 250 preempt 


Cisco4506A (config-if) standby 12 ip 172.16.12.254 


命令 “standby 2 priority 250 preempt” 中 的 “priority” 是 配置 HSRP 的 优 


先 级 ，2 为 组 序号 ， 它 的 取 值 范围 为 0~~255，250 为 优先 级 的 值 ， 取 值 范围 为 
0~255， 数 值 越 大 优先 级 越 高 。 


优先 级 将 决定 一 台 路 由 器 在 HSRP 备 份 组 中 的 状态 ， 优 先 级 最 高 的 路 由 器 将 


成 为 活动 路 由 器 ， 其 他 优先 级 低 的 路 由 器 将 成 为 备用 路 由 器 。 当 活动 路 由 器 失效 
后 ， 备 用 路 由 器 将 替代 它 成 为 活动 路 由 器 。 当 活动 和 备用 路 由 器 都 失效 后 ， 其 他 
路 由 器 将 参与 活动 和 备用 路 由 器 的 选举 工作 。 优 先 级 都 相同 时 ， 接 口 卫 地 址 高 的 
将 成 为 活动 路 由 器 。 


“preempt” 是 配置 HSRP 为 抢占 模式 。 如 果 需 要 高 优先 级 的 路 由 器 能 主动 抢 
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占 成 为 活动 路 由 器 ， 则 要 配置 此 命令 。 配 置 preempt 后 ， 能 够 保证 优先 级 高 的 路 
由 器 失效 恢复 后 总 能 成 为 活动 路 由 器 。 活 动 路 由 器 失效 后 ， 优 先 级 最 高 的 备用 路 
由 器 将 处 于 活动 状态 ， 如 果 没 有 使 用 preempt 技 术 ， 则 当 活 动 路 由 器 恢复 后 ， 它 
只 能 处 于 备用 状态 ， 先 前 的 备用 路 由 器 代替 其 角色 处 于 活动 状态 。 


Cisco4506B 上 的 配置 如 下 所 示 : 


Cisco4506B#VLAN database 

Cisco4506B (VLAN) #VLAN 12 

Cisco4506B (VLAN)#apply 

Cisco4506B (config)#interface range gigabitEthernet 4/1 -4 
Cisco4506B (config-if-range)# switchport 


Cisco4506B (config-if-range)#switchport access VLAN 12 


Cisco4506B (config)#int VLAN 12 


CiscoAS06B (configq-—if)#ip address 172.16%12.253 
DD 2 


Cisco4506B (config-if)#no shutdown 
Cisco4506B (config-if)standby 12 priority 249 preempt 


Cisco4506B (config-if)standby 12 ip 172.16.12.254 


Cisco4506B (config)#int VLAN 2 


clascod50epB(leontigq= -Tf})iip address 171216%22253 
之 95352235.25920 


Cisco4506B (config-if)#no shutdown 
Cisco4506B (config-if)standby 2 priority 249 preempt 


Cisco4506B (config-if)standby 2 ip 172.16.2.254 
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3. 问题 的 发 生 和 主要 的 故障 现象 


在 公司 的 网 络 中 ， 还 部 署 有 入 侵 检测 系统 IDS 和 人 入侵 防御 系统 IPS， 在 图 1-1 
所 示 的 “安全 中 心 ” 服 务 器 的 浏览 器 中 ， 分 别 输入 IDS 和 IPS 的 管理 下地 址 后 ， 就 
可 以 对 这 两 个 安全 设备 进行 管理 和 设置 ， 也 可 以 查看 这 两 个 安全 设备 上 的 一 些 日 
志和 报警 信息 。 这 也 就 是 在 远程 通过 浏览 器 ， 用 WEB 的 方式 对 安全 设备 进行 远 
程 管理 和 监控 。 网 络 中 的 IDS 设 备 是 连接 到 Cisco4S06A 的 GigabitEthernet 3/1 镜 像 
端口 上 ， 在 4506A 上 相关 的 配置 命令 如 下 所 示 : 


Cisco4506A (config)#monitor session 1 source VLAN 2 , 12 both 


Cisco4506A (config)#monitor session 1 destination 


interface gigabitEthernet 3/1 


在 “安全 中 心 ”服务 器 上 ， 通 过 IDS 设 备 对 图 1-1 中 ，VLAN 2 和 VLAN 12 两 
个 区 域 的 监控 ，IDS 总 会 提示 IP 地 址 192.168.0.120 冲 突 的 告警 信息 。 也 就 是 说 在 
图 1-1 中 的 VLAN 2、VLAN 12 中 存在 两 个 设备 都 在 使 用 人 地址 192.168.0.120。 因 为 
从 上 面 4506A 上 的 两 行 配 置 命 令 可 以 看 出 IDS 只 监控 了 VLAN 2 和 VLAN 12 两 个 网 段 
的 数据 。 


刚 看 到 告警 信息 时 觉得 很 奇怪 ， 因 为 公司 的 网 络 中 使 用 的 都 是 172 网 段 的 地 
址 ， 根 本 就 没有 部 署 过 192 的 地 址 ， 所 以 首先 想到 的 是 是 不 是 有 攻击 。 而 且 IDS 设 
备 能 够 显示 出 引起 耳 地 址 冲突 的 两 个 MAC 地 址 : 842b.2b48.a187 和 842b.2b58.ea6f。 


4. 排除 故障 的 步骤 


(1) 因 为 IDS 监 控 的 是 VLAN 2 和 VLAN 12 两 个 网 段 ， 所 以 就 首先 要 排除 冲突 
是 发 生 在 VLAN 2， 还 是 发 生 在 VLAN 12 中 。 把 在 4506A 上 的 配置 “Cisco4506A 
(config)#monitor session 1 source VLAN 2，12 both” 改 为 “Cisco4506A 
(config)#monitor session 1 source VLAN 2 both”， 也 就 是 只 让 IDS 监 控 VLAN 2 中 
的 数据 。 结 果 发 现 IDS 还 是 会 提示 也 地 址 192.168.0.120 冲 突 的 告警 信息 。 


接着 ， 把 配置 “Cisco4506A (config)#monitor session 1 source VLAN 2 both” 
改 为 “Cisco4506A (config)#monitor session 1 source VLAN 12 both”， 也 就 是 只 让 
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IDS 监 控 VLAN 12 中 的 数据 。 但 IDS 依 旧 会 提示 耳 地 址 192.168.0.120 冲 突 。 所 以 说 
目前 在 VLAN 2 和 VLAN 12 中 都 存在 IP 地 址 192.168.0.120 冲 突 的 问题 。 难 道 说 攻 
6 都 已 经 渗透 到 网 络 核心 层 的 这 两 个 VLAN 中 了 ? 

(2) 因 为 在 IDS 上 还 提示 了 引起 JP 地 址 冲突 的 两 个 MAC 地 址 ， 而 MAC 地 址 具 
有 全 球 唯 一 性 ， 所 以 可 以 通过 这 两 个 MAC 地 址 找到 TP 地址 192.168.0.120 是 和 什么 
设备 关联 在 一 起 的 。 所 以 ， 在 Cisco4506A 上 执行 以 下 命令 : 


=n 


Cisco4506A#sh mac address-table | include 842b.2b 
区 842b.2b48.al87 DYNAMIC Gi4/1 


842b.2b58.ea6f DYNAMIC Gi4/2 


从 以 上 命令 的 输出 结果 ， 可 以 看 出 在 VLAN 2 中 引起 IP 地 址 192.168.0.120 
冲突 的 两 个 设备 ， 就 是 连接 在 Cisco4506A 端 口 Gi4/1 上 的 FTP Server 和 连接 在 
Cisco4506A 端 口 Gi4/2 上 的 Web Server。 但 是 在 进行 网 络 部 署 时 ， 并 没有 在 这 两 个 
服务 器 上 配置 192 的 人 P 地 址 。 为 了 更 加 确认 这 种 判断 ， 还 在 FTP 和 Web 服 务 器 上 的 
“命令 行 ”中 执行 了 命令 “ifconfig-a”， 从 输出 的 结果 中 也 没有 看 到 192 网 段 的 
也 地 址 ， 都 是 172 的 地 址 。 


因为 从 上 面 的 第 “(1)” 点 中 可 以 看 出 ， 在 VLAN 12 中 也 存在 IP 地 址 
192.168.0.120 冲 突 的 问题 。 所 以 ， 在 Cisco4506B 上 也 执行 了 “Cisco4506B#sh mac 
address-table” 命 令 ， 结 果 发 现 引 起 IP 地 址 冲突 的 两 个 设备 是 连接 在 Cisco4506B 
端口 Gi4/1 上 的 安全 中 心服 务 器 和 连接 在 Cisco4506B 端 口 Gi4/2 上 的 DHCP Server。 
但 是 ， 我 们 在 这 两 个 服务 器 上 也 没有 配置 192 网 段 的 地 址 。 


(3) 综 合 上 面 排 查 故 障 的 过 程 ， 可 以 发 现 引 起 IP 地 址 冲突 的 服务 器 都 是 DELL 
服务 器 。 因 为 确实 查找 不 到 引起 IP 地 址 冲突 的 原因 ， 就 在 百度 中 搜索 了 “ 戴 
尔 192.168.0.120 冲 突 ” 相 关 信息 ， 发 现 192.168.0.120 这 个 IP 地 址 是 戴尔 服务 器 
远程 控制 功能 中 默认 使 用 的 一 个 IP 地 址 。 戴 尔 服务 器 的 远程 控制 功能 是 通过 
DRAC(Dell Remote Access Controller， 戴 尔 远 程控 制 卡 ) 实 现 的 ， 它 是 一 种 系统 管 
理 硬 件 和 软件 解决 方案 ， 专 门 用 于 为 Dell PowerEdge 系 统 提 供 远程 管理 功能 、 裔 
溃 系 统 恢复 和 电源 控制 功能 。 
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也 就 是 用 户 在 远程 若 能 访问 到 图 1-1 中 VLAN 2 或 VLAN 12 中 的 192.168.0.120 
这 个 人 P 地 址 ， 也 就 能 实现 在 远程 对 VLAN 2 或 VLAN 12 中 的 戴尔 服务 器 进行 简单 
的 管理 和 配置 。 因 为 默认 情况 下 具备 DRAC 功 能 的 戴尔 服务 器 ， 都 在 远程 控制 卡 
上 配置 了 192.168.0.120 这 个 IP 地 址 ， 而 且 DRAC 功 能 的 实现 是 通过 共用 戴尔 服务 
器 的 网 口 实现 的 。 

所 以 ， 连 接 在 Cisco4506A 上 的 ， 都 位 于 VLAN 2 中 的 戴尔 牌 FTP 服 务 器 、Web 
服务 器 和 流 媒 体 服 务 器 ， 在 它们 连接 到 4506A 上 的 网 口上 都 同时 具备 了 两 个 IP 地 
址 ， 一 个 是 172 网 段 的 地 址 ， 一 个 是 192.168.0.120 地 址 。 而 且 ， 它 们 都 位 于 同一 
个 VLAN 中 ， 所 以 IDS 在 监控 时 就 会 发 出 耳 地 址 冲突 的 告警 信息 。 同 样 道理 ， 连 接 
在 Cisco4506B 上 的 安全 中 心服 务 器 和 DHCP 服 务 器 也 会 出 现 同样 的 地 址 冲突 告警 。 


5. 总 结 


(1) 为 了 验证 戴尔 服务 器 的 DRAC 功 能 ， 在 图 1-1 的 VLAN 2 中 接 入 一 台 笔 记 本 电 
脑 ， 电 脑 上 的 人 P 地 址 配置 为 192.168.0.144， 子 网 掩 码 为 255.255.255.0， 如 图 1-2 所 示 。 
TCP/IP 地 址 ?xj 


?地址 四: Js .168 .0 .144 
子 网 掩 码 G): ss .255 .255 .0 


[Lamw | wa | 
图 1-2 ”笔记 本 电脑 网 络 配置 参数 


然后 ， 在 笔记 本 电脑 的 浏览 器 中 输入 网 址 “https://192.168.0.120” 后 回 车 ， 
就 可 以 看 到 如 图 1-3 所 示 的 登录 界面 ， 输 入 默认 的 用 户 名 root， 密 码 calvin 后 就 可 
以 进入 到 戴尔 服务 器 的 Web 管 理 控 制 界面 。 


登录 到 : 
外 入 用 户 吉 和 到 码 ， 然后 单 十 确定 - 


用 户 名 : 
室 码 : 
3 [此 iDRAC 本 


ES 


i 
EE TT 
图 1-3 通过 DRAC 管 理 戴尔 服务 器 的 登录 界面 
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在 管理 界面 中 可 以 看 到 戴尔 服务 器 的 基本 配置 属性 ， 还 可 以 对 “电源 ”和 
“和 警报 ”进行 管理 配置 ， 也 可 以 浏览 查看 服务 器 的 日 志 信息 。 而 且 在 “属性 ”的 
系统 摘要 中 ， 可 以 看 到 服务 器 的 耳 地 址 信息 ， 其 中 也 包括 有 192.168.0.120 这 个 IP 
地 址 ， 如 图 1-4 所 示 。 


克 Imtezrated Dell Eeeote 

| 文件 四 “ 辆 得 加 “查看 四 路 
地 址 四) 网 wes 7/192. 188.0. 120/index. html 
Tr 


192.168.0.120 
子 网 撞 码 255.255.255.0 


网 关 192.168.0.1 
已 启用 DHCP 否 | 
站 IPve 信 息 J 
立 [ | 合力 ftermet 


图 1-4 通过 DRAC 管 理 戴尔 服务 器 的 系统 摘要 信息 


(2) 要 解决 在 IDS 设 备 中 总 提示 192.168.0.120 冲 突 的 告警 信息 ， 可 以 使 用 两 种 
解决 办 法 。 一 是 重新 启动 戴尔 服务 器 ， 进 入 到 服务 器 的 CMOS 设 置 ， 在 其 中 把 
“远程 控制 卡 ”的 功能 关闭 即 可 。 二 是 进入 到 服务 器 的 CMOS 中 ， 对 DRAC 卡 的 
IP 地 址 进行 设置 ， 可 以 把 图 1-1 中 位 于 VLAN 2 或 VLAN 12 中 的 几 台 戴尔 服务 器 的 
IP 地 址 设置 成 相互 间 不 一 样 的 地 址 ， 也 可 以 把 它们 配置 成 为 172 网 段 的 卫 地 址 ， 
这 样 就 可 以 通过 公司 的 网 络 ， 远 程 对 各 个 戴尔 服务 器 进行 简单 的 管理 和 配置 。 如 
图 1-5 所 示 ， 是 在 CMOS 中 设置 DRAC 卡 IP 地 址 的 界面 。 


RMCP+* Encryption Key <ENTER> 


IP hdd 
Ethernet IP 
MAC hd 
Subnet 
Default [ 


ULAN Enable .. 
ULAN ID 
ULAN .. 


图 1-5 ”在 戴尔 服务 器 CMOS 中 设置 DRAC 卡 IP 地 址 
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1.3 运 维 实例 : 双 网 卡 在 网 络 中 的 实际 应 用 


因为 用 户 的 特殊 需求 ， 要 保证 其 上 互联 网 的 高 可 靠 性 ， 所 以 考虑 到 在 他 的 电 
脑 上 使 用 两 块 网 卡 访问 互联 网 。 这 样 当 其 中 一 块 网 卡 故障 或 者 是 连接 在 网 卡 上 的 
线路 故障 ， 另 一 块 网 卡 和 线路 还 可 以 继续 保证 用 户 正常 地 使 用 Internet。 另 外 ， 
还 有 一 种 方案 就 是 使 用 双 网 卡 绑 定 软件 ， 把 两 个 网 卡 绑 定 虚拟 成 一 块 网 卡 ， 但 是 
这 种 方案 就 要 多 使 用 一 个 软件 ， 这 无 疑 就 多 增加 了 一 个 故障 点 。 若 用 户 在 使 用 
中 ， 绑 定 双 网 卡 的 软件 发 生 故 障 ， 也 会 影响 到 用 户 正常 访问 互联 网 。 那 么 在 不 使 
用 双 网 卡 绑 定 软件 的 情况 下 ， 能 不 能 把 PC 上 的 两 块 网 卡 同 时 接 入 到 网 络 中 ? 当 
其 中 的 一 块 网 卡 故 障 后 ， 另 一 块 网 卡 是 不 是 同样 可 以 保证 用 户 对 互联 网 的 正常 使 
用 ? 经 过 测试 是 可 以 的 ， 以 下 是 实验 的 过 程 。 


1. 网 络 结构 图 


(1) 网 络 设备 间 的 主要 连接 情况 。 网 络 结构 图 如 图 1-6 所 示 。 为 了 确保 重要 设 
备 的 稳定 性 和 宛 余 性 ， 核 心 层 交 换 机 使 用 两 台 Cisco4506， 通 过 Trunk 线 连接 。 在 
接 入 层 使 用 了 多 台 Cisco3750 交 换 机 ， 图 示 为 了 简洁 ， 只 画 出 了 两 台 。 在 核心 交 
换 机 上 连接 有 单位 重要 的 服务 器 ， 如 DHCP、E-MAIL 服 务 器 、WEB 服 务 器 等 。 
其 中 ，DHCP 服 务 器 在 图 1-6 中 只 画 出 了 一 台 ， 现 实 中 存在 两 台 双 机 热 备 的 DHCP 
服务 器 。 同 样 ， 对 于 连接 到 Internet 的 光纤 ， 也 有 两 条 ， 这 都 是 为 了 保障 整个 网 
络 的 高 可 靠 性 。 卫 地 址 的 部 署 ， 使 用 的 是 C 类 私有 192 网 段 的 地 址 。DHCP 服 务 器 
的 耳 地 址 为 192.168.1.1。Cisco4506 和 Cisco3750 之 间 也 是 Trunk 连 接 。 图 1-6 部 署 模 
式 设备 间 的 连接 情况 如 下 所 示 : 


Cisco4506A GigabitEthernet1/1 <----> Cisco4506B 
GigabitEthernet1/1 
Cisco4506A GigabitEthernet2/1 <----> Cisco3750A 


GigabitEthernet1/0/28 
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Cisco4506B GigabitEthernet2/1 <----> Cisco3750B 
GigabitEthernet1/0/28 


Cisco3750A GigabitEthernet1/0/25 <----~> Cisco3750B 
GigabitEthernet1/0/25 


图 1-6 单位 网 络 结构 图 


(2) 在 Cisco4506A 和 Cisco4506B 上 的 主要 配置 。 在 图 1-6 的 连接 中 ， 
Cisco4506A 和 Cisco4506B 之 间 的 连接 、Cisco4506 和 Cisco3750 之 间 的 连接 及 
Cisco3750A 和 Cisco3750B 之 间 的 连接 都 是 通过 光纤 连接 的 。 而 其 他 的 连接 使 用 的 
都 是 双 绞 线 的 连接 。 在 Cisco4506A 上 的 主要 配置 ， 如 下 所 示 : 


hostname Cisco4506A 


interface GigabitEthernet1/1 
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description Link4506B 1/1 
switchport trunk encapsulation dotlq 
switchport trunk allowed VLAN 201,220 


switchport mode trunk 


interface GigabitEthernet2/1 
description Link3750A 

switchport trunk encapsulation dotlq 
switchport trunk allowed VLAN 201,220 


switchport mode trunk 


interface VLAN 201 

ap address L192.1085201.252 "255.2555255%0 
standby 201 ip 192.168.201.254 

standby 201 priority 120 

standby 201 preempt 

! 

interface VLAN 220 

3.p addreses 192-168=220.252 2555255225550 
standby 220 ip 192.168.220.254 

standby 220 priority 120 


standby 220 preempt 


其 中 命令 “ip address 192.168.201.252 255.255.255.0” 是 给 指定 的 VLAN 配 置 


24 | 网 络 运 维 亲历 记 


卫 地 址 。 


命令 “standby 201 priority 120” 中 的 “priority” 是 配置 HSRP 的 优先 级 ，201 
为 组 序号 ， 它 的 取 值 范围 为 0 一 255，120 为 优先 级 的 值 ， 取 值 范围 为 0 一 255， 数 
值 越 大 优先 级 越 高 。 


优先 级 将 决定 一 台 路 由 器 在 HSRP 备 份 组 中 的 状态 ， 优 先 级 最 高 的 路 由 器 将 
成 为 活动 路 由 器 ， 其 他 优先 级 低 的 路 由 器 将 成 为 备用 路 由 器 。 当 活动 路 由 器 失效 
后 ， 备 用 路 由 器 将 替代 它 成 为 活动 路 由 器 。 当 活动 和 备用 路 由 器 都 失效 后 ， 其 他 
路 由 器 将 参与 活动 和 备用 路 由 器 的 选举 工作 。 优 先 级 都 相同 时 ， 接 口 卫 地 址 高 的 
将 成 为 活动 路 由 器 。 

“preempt” 是 配置 HSRP 为 抢占 模式 。 如 果 需 要 高 优先 级 的 路 由 器 能 主动 抢 
占 成 为 活动 路 由 器 ， 则 要 配置 此 命令 。 配 置 preempt 后 ， 能 够 保证 优先 级 高 的 路 
由 器 失效 恢复 后 总 能 成 为 活动 路 由 器 。 活 动 路 由 器 失效 后 ， 优 先 级 最 高 的 备用 路 
由 器 将 处 于 活动 状态 ， 如 果 没有 使 用 preempt 技 术 ， 则 当 活 动 路 由 器 恢复 后 ， 它 
只 能 处 于 备用 状态 ， 先 前 的 备用 路 由 器 代替 其 角色 处 于 活动 状态 。 


命令 “standby 201 ip 192.168.201.254” 作 用 是 启动 HSRP， 如 果 虚 拟 卫 地 址 
不 指定 ， 路 由 器 就 不 会 参与 备份 。 虚 拟 卫 应 该 是 接口 所 在 的 网 段 内 的 地 址 ， 不 能 
配置 为 接口 上 的 卫 地 址 。 


在 Cisco4506B 上 的 主要 配置 如 下 所 示 : 


hostname Cisco4506B 

! 

interface GigabitEthernet1/1 
description Link4506A 1/1 

Switchport trunk encapsulation dotlq 
Switchport trunk allowed VLAN 201,220 
Switchport mode trunk 
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interface GigabitEthernet2/1 
description Link3750B 

switchport trunk encapsulation dotlq 
switchport trunk allowed VLAN 201,220 


switchport mode trunk 


interface VLAN 201 
ipladdress L192.168.201.2539 2552552525520 
standby 201 ip 192.168.201.254 

standby 201 priority 110 
standby 201 preempt 

! 
interface VLAN 220 
ipraddress L92168.220%2537 255s255525520 
standby 220 ip 192.168.220.254 

standby 220 priority 110 


standby 220 preempt 


(3) 在 Cisco3750A 和 Cisco3750B 上 的 主要 配置 如 下 所 示 : 


hostname Cisco3750A 


interface GigabitEthernet1/0/25 


description Link3750B 1/0/25 


switchport trunk encapsulation dotlq 
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Switchport trunk allowed VLAN 201,220 


switchport mode trunk 


interface GigabitEthernet1/0/28 
description Link4506A 

Switchport trunk encapsulation dotlq 
switchport trunk allowed VLAN 201,220 


switchport mode trunk 


在 Cisco3750B 上 的 主要 配置 如 下 所 示 : 


hostname Cisco3750B 


interface GigabitEthernet1/0/25 
description Link3750A 1/0/25 
Switchport trunk encapsulation dotlq 
switchport trunk allowed VLAN 201,220 


switchport mode trunk 


interface GigabitEthernet1/0/28 
description Link4506B 

switchport trunk encapsulation dotlq 
switchport trunk allowed VLAN 201,220 


switchport mode trunk 
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2. PC 上 两 块 网 卡 的 IP 地 址 位 于 不 同 的 VLAN 中 


如 图 1-7 所 示 ， 电 脑 PC 上 有 两 块 网 卡 ， 分 别 用 网 线 连 接 到 Cisco3750 上 。 其 
中 ，PC 上 左边 的 网 卡通 过 网 线 连接 到 3750 的 VLAN 201 中 ， 右 边 的 网 卡通 过 网 线 
连接 到 3750 的 VLAN 220 中 。 因 为 从 图 1-6 中 可 以 看 出 ， 网 络 中 配置 有 DHCP 服 务 
器 ， 所 以 当 PC 加 电 ， 启 动 操作 系统 后 ， 电 脑 会 从 DHCP 服 务 器 上 自动 获取 IP 地 
址 。 这 样 两 个 网 卡 都 能 从 DHCP 服 务 器 上 分 别 获取 到 一 个 JP 地 址 ， 也 就 是 同一 个 
操作 系统 中 会 有 两 个 IP 地 址 同时 处 于 活动 状态 。 下 面 阴影 部 分 内 容 是 在 电脑 的 
“命令 提示 符 CMD” 中 执行 命令 “ipconfig /all” 后 的 显示 结果 ， 其 中 电脑 PC 上 
使 用 的 操作 系统 是 “Win 7 旗舰 版 ”。 


C:\Users\Administrator>ipconfig /all 


以 太 网 适配器 本 地 连接 2: 


描述 ...............: Realtek RTL8139 Family Fast Ethernet 
NIC 

Ct 00-1A-EB-4D-07-4A 

DHCP EE 和光 攻 

自动 配置 已 启用 . ...........:..: 是 

BVA 192.168.201.35 (首选 ) 

网 S55 

获得 租约 的 时 间 ...............: 2012 年 1 月 19 日 15:42:38 

租约 过 期 的 时 间 ...............: 2012 年 3 月 19 日 15:42:38 

融 认 网 尖 S1921608201e254 

DHCBY 有 服务: 二 Se 02 100 

DNS 守 服务 二 B96 al 

Be 
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描述 -50 Intel (R) 82566DM-2 Gigabit Network 
Connection 

物理 吓 E00 3 86 4 TG A2 

DHEeB 已 启用 是 

自动 配置 已 启用 sse see sas 是 

TPQ 地址 192.168.220.5 (首选 ) 

也 网 穗 码 E2552255025580 

获得 租约 的 时 间 ...............: 2012 年 1 月 19 日 15:47:09 

租约 过 期 的 时 间 ...............: 2012 年 3 月 19 日 15:47:09 

A G2208254 

DHGBE 服务 腊 - :92 6 

DNSR 服 名 证 Bl 

8.8.8.8 


从 上 面 的 输出 结果 可 以 看 出 ，Win 7 操作 系统 中 共有 两 个 网 络 连 接 ，“ 本 
地 连接 2” 和 “本 地 连接 ”， 前 者 的 IP 地 址 为 192.168.201.35， 也 就 是 连接 到 
Cisco3750 中 VLAN 201 上 的 那个 网 卡 的 JP 地址 ; 后 者 的 人 P 地 址 为 192.168.220.5， 
也 就 是 连接 到 Cisco3750 中 VLAN 220 上 的 那个 网 卡 的 IP 地 址 。 两 个 网 卡 的 默认 
网 关 地 址 都 是 从 DHCP 服 务 器 上 自动 获取 的 ， 前 者 是 192.168.201.254， 后 者 是 
192.168.220.254。 两 个 网 卡 从 DHCP 服 务 器 上 自动 获取 的 DNS 的 地 址 都 是 一 样 
的 ， 为 85.61.14.251 和 8.8.8.8。 从 上 面 的 输出 中 也 可 以 看 出 网 络 中 DHCP 服 务 器 
的 IP 地 址 为 192.168.1.1。 两 个 网 卡 自动 获取 的 人 P 地 址 都 有 “获得 租约 的 时 间 ” 和 
“租约 过 期 的 时 间 ”， 而 且 也 能 显示 出 两 个 网 卡 的 MAC 地 址 分 别 为 “00-1A-EB- 
4D-07-4A” 和 “00-31-86-14-16-A2”。 
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图 1-7 PC 上 两 块 网 卡 位 于 不 同 的 VLAN 中 


现在 ，PC 上 同时 有 两 个 正常 活动 的 JP 地址 ， 那 Win 7 系统 能 不 能 正常 访问 互 
联网 ? 若是 能 正常 访问 的 话 ， 出 去 的 数据 是 从 哪个 网 卡 出 去 的 ? 从 互联 网 上 返回 
电脑 PC 上 的 数据 又 是 从 哪个 网 卡 传输 到 电脑 上 ? 是 通过 “本 地 连接 2” 的 网 卡 ， 
还 是 通过 “本 地 连接 ”的 网 卡 ? 

经 过 测试 ， 发 现在 PC 上 可 以 正常 访问 互联 网 上 所 有 的 数据 。 和 在 电脑 上 安 
装 一 块 网 卡 访问 互联 网 的 效果 是 一 样 的 。 也 就 是 ， 同 时 使 用 两 块 网 卡 并 不 影响 用 
户 对 网 络 的 正常 访问 。 下 面 是 在 电脑 PC 上 执行 命令 “ping www.baidu.com” 的 输 
出 结果 : 


C:\Users\Administrator>ping www.baidu.com 


正在 Ping www.a.shifen.com [61.135.169.125] 具有 32 字 节 
的 数据 : 


来 自 61.135.169.125 的 回复 : 字 节 =32 时 间 =2ms TTL=50 
来 自 61.135.169.125 的 回复 : 字 节 =32 时 间 =2ms TTL=50 
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来 自 61.135.169.125 的 回复 : 字 节 =32 时 间 =2ms TTL=50 
来 自 61.135.169.125 的 回复 : 字 节 =32 时 间 =2ms TTL=50 
61.135.169.125 的 Ping 统计 信息 : 

数据 包 : 已 发 送 = 4, 已 接收 = 4， 丢失 = 0 (0% 丢失 ) ， 
往返 行程 的 估计 时 间 (以 毫秒 为 单位 ) : 

最 短 = 2ms， 最 长 = 2ms，, 平均 = 2ms 


但 是 从 上 面 的 输出 结果 也 看 不 出 ， 电 脑 的 哪个 网 卡 在 和 外 界 的 互联 网 进行 通 
信 。 后 来 想到 ， 其 实 每 一 台 具 有 三 层 了 地址 的 网 络 设备 ， 在 本 质 上 它 就 相当 于 一 
台 路 由 器 ， 其 中 都 包括 有 路 由 表 。 这 些 设备 在 发 出 数据 包 时 都 会 对 照 自 己 的 路 由 
表 ， 来 决定 到 底 是 从 哪个 接口 上 把 数据 包 发 送出 去 。 所 以 在 图 1-7 中 的 PC 上 肯定 
也 存在 路 由 表 。 下 面 阴影 部 分 内 容 是 在 电脑 的 “命令 提示 符 CMD” 中 执行 命令 
“route print” 后 的 显示 结果 : 


C:\Users\Administrator>route print 


接口 列表 
195 00 1a neb AGO Aa -ss Realtek RTL8139 Family Fast 
Ethernet NIC 
2 00 3 66 LT4 16 a2 eens Intel (R) 82566DM-2 Gigabit 
Network Connection 
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活动 路 由 : 

网 络 目标 网络 掩 码 网 关 接口 跃 点 数 
02020s0 Bo0s0s0 192.168-201.254 192:168:201-35” 20 
0.0.0.0 0.0.0.0 192.168.220.254 192.168.220.5 10 
192.168.201.0 255.255.255.0 ”在 链 路 上 192.168.201.35 276 
192.168.201.35 255.255.255.255 在 链 路 上 192.168-201.35 276 
192.168.201.255 255.255.255.255 在 链 路 上 192.168.201.35 276 
192.168.220.0 255.255.255.0 在 链 路 上 192.168.220.5 266 
192.168.220.5 255.255.255.255 在 链 路 上 192.168.220.5 266 
192.168.220.255 255.255.255.255 在 链 路 上 192.168.220.5 266 
255.255.255.255 ”255.255.255.255 在 链 路 上 192.168.201.35 276 


255.255.255.255 255.255.255.255 在 链 路 上 192.168.220.5 266 


“route print” 命 令 可 以 显示 出 电脑 中 的 路 由 表情 况 。 从 上 面 输出 的 “接口 
列表 ”中 可 以 看 出 ，PC 通 过 两 个 接口 和 外 界 的 互联 网 进行 通信 ， 从 两 个 接口 的 
MAC 地 址 就 能 知道 它们 分 别 对 应 电脑 PC 上 的 “本 地 连接 2” 和 “本 地 连接 ” 
的 两 个 网 卡 。 从 “IPv4 路 由 表 ” 中 可 以 看 出 ， 在 电脑 PC 上 存在 两 个 默认 网 关 
“192.168.201.254” 和 “192.168.220.254”。 有 两 个 默认 网 关 ， 那 电脑 PC 到 底 是 
使 用 哪个 网 关 ， 把 它 上 面 的 数据 发 送 到 互联 网 上 的 ? 其 实 ， 在 上 面 的 输出 结果 中 
还 有 一 个 重要 的 参数 一 一 “ 跃 点 数 ”。 跃 点 数 越 小 的 路 由 ， 就 会 被 选 为 从 电脑 上 
发 出 数据 包 的 活动 路 由 ， 也 就 是 说 网 关 “192.168.220.254” 最 终 成 为 电脑 PC 和 外 
界 通信 的 活动 网 关 。 对 照 上 面 命 令 “ipconfig /all” 的 输出 结果 ， 可 以 看 出 是 网 卡 
“Intel(R)82566DM-2 Gigabit Network Connection” 在 和 外 界 进行 着 数据 的 交互 。 


为 了 进一步 验证 是 不 是 网 卡 “Intel(R)82566DM” 在 和 外 界 进行 数据 交互 ， 
在 命令 行 提示 符 中 执行 命令 “netstat -an”， 以 下 是 输出 结果 。 


32 网 络 运 维 亲历 记 


C:\Users\Administrator>netstat -an 


活动 连接 
协议 ”本 地 地 址 外 部 地 址 状态 
TEP T6820 3 5919 00NONO0 LISTENING 
TEP 710251685220058139 000080:0 LISTENING 


TCP 192.168.220.5:1808 64.4.44.95:1863 ESTABLISHED 
TCR 192.168.220.5:3904 123.125.114.64:80 ESTABLISHED 
TCP 192.168.220.5:3905 123.125.114.64:80 ESTABLISHED 
ER 192.168.220.5:3906 123.125.114.17:80 ESTABLISHED 


TCP 192.168.220.5:3907 123.125.115.43:80 ESTABLISHED 


“netstat -an” 命 令 ， 可 以 以 数字 的 形式 显示 电脑 中 所 有 的 连接 和 监听 
端口 。 从 上 面 的 输出 结果 可 以 看 出 ， 和 外 界 建立 “ESTABLISHED ”的 都 是 
“192.168.220.5” 这 个 IP 地 址 ， 而 地 址 “192.168.201.35” 一 直 处 于 监听 状态 ， 
并 没有 与 外 界 建立 连接 和 通信 。 所 以 说 电脑 PC 上 ， 连 接 到 Cisco3750 的 两 块 网 
卡 中 只 有 “Intel(R)82566DM” 这 一 块 网 卡 和 外 界 进行 数据 通信 。 而 另 一 块 网 卡 
其 实 是 处 于 备用 状态 的 ， 一 旦 网 卡 “Intel(R)82566DM” 故 障 ， 也 就 是 在 “route 
print” 命 令 的 输出 中 ， 路 由 “0.0.0.0 0.0.0.0 192.168.220.254 192.168.220.5 
10” 消 失 ， 网 卡 “Realtek RTL8139” 马 上 就 会 承担 起 和 互联 网 进行 数据 交 
互 的 接口 。 也 就 是 在 “route print” 命 令 的 输出 中 ， 路 由 “0.0.0.0 0.0.0.0 
192.168.201.254 192.168.201.35 20” 就 会 成 为 活动 路 由 。 

从 上 面 的 测试 结果 可 以 得 出 这 样 的 结论 : “在 一 台电 脑 上 安装 两 个 网 卡 ， 只 
要 这 两 个 网 卡 在 路 由 表 中 的 ， 两 条 默认 路 由 的 “路 点数” 不 一 样 ， 那 电脑 就 会 选 
择 “ 跃 点数 ”比较 小 的 默认 路 由 作为 和 外 界 通信 的 路 由 。“ 跃 点 数 ” 较 大 的 路 由 
作为 备用 路 由 。” 
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3. 两 块 网 卡 的 IP 地 址 位 于 同一 VLAN 中 


两 块 网 卡 位 于 不 同 的 VLAN 中 ， 它 们 获取 到 的 也 地 址 不 一 样 ， 路 由 表 中 路 由 
条 目的 “ 跃 点 数 ”也 不 一 样 ， 这 样 操作 系统 就 可 以 选择 “ 跃 点 数 ” 小 的 路 由 作为 
活动 路 由 。 但 若是 把 电脑 PC 的 两 块 网 卡 接 入 到 同一 个 VLAN 中 ， 两 块 网 卡 还 是 自 
动 从 DHCP 上 获取 耳 地 址 和 DNS 地 址 ， 最 终 在 操作 系统 的 路 由 表 中 还 是 会 生成 两 
个 默认 网 关 路 由 ， 而 且 两 条 默认 路 由 的 网 关 地 址 和 跃 点 数 这 两 个 参数 都 应 该 是 一 
样 的 ， 因 为 它们 都 位 于 同一 个 VLAN 中 。 如 图 1-8 所 示 ， 是 把 电脑 PC 上 的 两 块 网 
卡 都 接 入 到 Cisco3750 交 换 机 VLAN 201 中 的 示意 图 。 同 样 ， 在 电脑 PC 的 “命令 提 
示 符 CMD” 中 执行 命令 “ipconfig”， 得 到 如 下 的 输出 结果 : 


图 1-8 PC 上 两 块 网 卡 位 于 同一 个 VLAN 中 


C:\Users\Administrator>ipconfig 
Windows IP 配置 
以 太 网 适配器 本 地 连接 2: 


EEA Ga 20 
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于 网 邱 码 S02D5 2DD S255a0 
ES 92 让 8 瑟 2 03 有 25 


以 太 网 适配器 本 地 连接 : 


TPVA 地 0203 
也 网 乔 码 3 255.255.255.0 
默 兴 网 关 1921600201254 


从 上 面 的 输出 中 可 以 看 出 ，“ 本 地 连接 2” 网 卡 的 IP 地 址 和 上 面 “2” 


中 的 没有 变化 ， 还 是 192.168.201.35， 但 是 “本 地 连接 ”网 卡 的 IP 地 址 变 成 了 
“192.168.201.38”。 并 且 两 个 网 卡 的 默认 网 关 都 是 一 样 的 “192.168.201.254”。 
为 了 查看 电脑 PC 中 的 路 由 表情 况 ， 执 行 命令 “route print”， 得 到 如 下 所 示 的 输 
出 结果 : 


C:\Users\Administrator>route print 


活动 路 由 : 

网 络 目 标 网 络 掩 码 网关 接口 跃 点 数 
0a0N000 0 030 0 pen20n 5 e268 07035 020 
0.0.0.0 0.0.0.0 192.168.201.254 192.168.201.38 20 
192.168.201.0 255.255.255.0 在 链 路 上 192.168.201.35 276 
192.168.201.0 255.255.255.0 ”在 链 路 上 192.168.201.38 276 
192.168.201.35 ”255.255.255.255 在 链 路 上 192.168.201.35 276 


192.168.201.38 255.255.255.255 在 链 路 上 192.168.201.38 276 


9268S204255 


192.168.201.255 


255-235.25955253 


255.255.255.255 
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人 5923 


255:2555255:239 


255.255-255-255 


2 


二 93922468:20135 


19251685201.38 


192:168.201.35 


192.168.201.38 


从 上 面 的 输出 结果 中 可 以 看 出 ，“IPv4 路 由 表 ” 中 前 两 条 的 默认 路 由 的 网 关 
地 址 变 成 一 样 的 了 ， 而 且 跃 点 数 也 都 成 了 一 样 的 “20”。 那 在 这 种 情况 下 ，PC 
还 能 不 能 和 外 界 的 互联 网 保持 正常 的 通信 ? 若是 能 通信 的 话 ， 那 它 使 用 哪个 网 卡 
和 外 界 通 信 的 ? 

测试 在 PC 上 访问 百度 、 新 浪 等 网 站 ， 结 果 一 切 正常 。PC 还 是 能 够 正常 地 访 
问 互 联网 。 那 PC 是 使 用 哪个 网 卡 和 外 界 通 信 的 ? 经 过 多 次 打开 互联 网 上 的 网 页 
和 使 用 命令 “netstat -an” 测 试 ， 发 现 PC 有 时 是 使 用 网 卡 “Intel(R)82566DM”， 
有 时 是 使 用 网 卡 “Realtek RTL8139” 和 外 界 进行 通信 的 。 也 就 是 在 PC 中 执行 命 
令 “netstat -an” 后 ， 发 现 PC 有 时 是 使 用 耳 地 址 “192.168.201.35” 和 外 界 建 立 连 
接 的 ， 有 时 是 使 用 耳 地址 “192.168.201.38” 进 行 连接 的 。 


另外 ， 在 网 络 中 位 于 VLAN 220 中 的 一 台 卫 地 址 是 192.168.220.8/24 的 电脑 
上 ， 同 时 执行 两 个 命令 “ping 192.168.201.35 -t” 和 “ping 192.168.201.38 -t”， 
其 中 “-t” 参 数 ， 是 指定 电脑 一 直 持续 不 断 的 执行 ping 命 令 。 以 下 是 两 条 命令 的 
输出 结果 的 一 部 分 ， 因 为 每 一 行 都 是 一 样 的 ， 所 以 每 一 个 命令 就 只 列 出 了 5 行 。 


C:\Users\Administrator>ping 192.168.201.35 
201.35 具有 32 字 节 的 数据 : 
字 节 =32 时 间 <lms 
字 节 =32 时 间 <lms 
字 节 =32 时 间 <lms 
字 节 =32 时 间 <lms 


-t 
正在 Ping 192.168. 


E192N168 


201.35 的 回复 : 6 


> = ald 


201.35 的 回复 : i 


SK T9216 


201.35 的 回复 : TTL=64 


kK T92168. 


201.35 的 回复 : TTL=64 
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来 自 192.168. 201.35 的 回复 : 字 节 =32 时 间 <lms TTL=64 
C:\Users\Administrator>ping 192.168.201.38 -t 
正在 Ping 192.168. 201.38 具有 32 字 节 的 数据 : 

来 自 192.168. 201.38 的 回复 : 字 节 =32 时 间 <lms TTL=64 
来 自 192.168. 201.38 的 回复 : 字 节 =32 时 间 <lms TTL=64 
来 自 192.168. 201.38 的 回复 : 字 节 =32 时 间 <lms TTL=64 
来 自 192.168. 201.38 的 回复 : 字 节 =32 时 间 <lms TTL=64 
来 自 192.168. 201.38 的 回复 : 字 节 =32 时 间 <lms TTL=64 


从 以 上 这 两 个 命令 的 输出 结果 可 以 看 出 ， 在 图 1-8 中 的 电脑 PC 上 的 两 个 网 卡 
都 “同时 ”处 于 正常 的 活动 状态 。 因 为 以 上 两 个 ping 命 令 是 “同时 ”执行 的 ， 并 
不 是 执行 完 其 中 一 个 再 执行 另 一 个 。 从 上 面 的 测试 结果 可 以 得 出 这 样 的 结论 : 
“在 一 台电 脑 上 安装 两 个 网 卡 ， 即 使 这 两 个 网 卡 的 “默认 网 关 ” 地 址 和 路 由 表 中 
的 “ 跃 点 数 ” 两 个 参数 都 一 样 ， 也 会 不 影响 电脑 正常 访问 互联 网 。” 


4. 两 个 网 卡 配置 成 同一 个 IP 地 址 


在 上 面 “2” 和 “3” 测 试 的 基础 上 ， 再 深入 一 步 ， 就 是 把 两 个 网 卡 的 IP 地 
址 、 默 认 网 关 和 DNS 地 址 全 都 配置 成 一 样 的 ， 看 看 会 出 现 什么 样 的 结果 ? 电脑 是 
不 是 还 能 正常 访问 互联 网 ? 

大 家 都 知道 ， 在 XP 操 作 系统 中 ， 当 网 络 中 存在 两 个 同样 的 耳 地 址 时 ， 就 会 
在 电脑 操作 系统 桌面 的 右 下 角 ， 出 现 一 个 带 感叹 号 的 黄色 小 三 角 ， 并 有 提示 : 
“IP 地 址 与 网 络 上 其 他 系统 有 冲突 ”。 但 在 Win 7 操作 系统 中 会 出 现 什么 样 的 情 
况 呢 ?下 面 我 们 就 一 步 一 步 地 测试 : 

(1) 电 脑 PC 上 两 个 网 卡 的 连接 示意 图 和 图 1-8 是 一 样 的 ， 网 卡 
“Intel(R)82566DM” 的 IP 地 址 、 默 认 网 关 和 DNS 地 址 都 是 自动 从 DHCP 服 务 器 
获得 的 ， 分 别 为 “192.168.201.35”、 “192.168.201.254”、 “85.61.14.251” 
和 “8.8.8.8”。 然 后 ， 我 们 把 网 卡 “Realtek RTL8139” 的 JP 地 址 、 默 认 网 关 和 
DNS 地 址 用 手工 配置 ， 不 让 它 使 用 从 DHCP 服 务 器 上 获取 到 的 地 址 ， 当 然 网 卡 
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“Realtek RTL8139” 还 是 连接 到 Cisco3750 的 VLAN 201 中 的 。 配 置 的 参数 和 网 卡 
“Intel(R)82566DM” 的 一 样 。 


在 电脑 PC 的 “开始 ”一 “控制 面板 ”一 “网 络 和 共享 中 心 ”一 “更 改 适 配 
器 设置 ”一 双击 “本 地 连接 ”一 双击 “Intemet 协 议 版 本 4(TCP/IPv4)”， 然 后 在 
其 中 配置 各 项 参数 ， 如 图 1-9 所 示 。 


= 
| MR 0 


人 同 自动 获得 IP 地 址 (0) 

图 使 用 下 面 的 IP 地 址 (S) : 

IP 地 址 (1): 192 .168 .201 . 35 
子 网 挤 码 (0) : 255 .255 .255 . 0 
默认 网 关 (D) : 192 .168 .201 .254 


) 自动 获得 DNS 服务 器 地 址 (B) 
图 使 用 下 面 的 DNS 服务 器 地 址 (E) : 
首选 DNS 服务 器 (P) : 85 .61 .14 .251 
备用 DNS 服务 器 (4) : [BB .8 :8 可] 


回 退出 时 验证 设置 (L) 
取消 
图 1-9 手动 配置 网 卡 “Realtek RTL8139” 参 数 


(2) 在 配置 完 上 面 的 各 项 参数 后 ， 单 击 图 1-9 所 示 的 “确定 ”按钮 ， 会 出 现 如 
图 1-10 所 示 的 “警告 ”对 话 框 。 出 现 这 个 对 话 框 ， 就 是 因为 在 Win 7 系统 中 ， 配 
置 了 两 个 一 样 的 耳 地 址 导致 的 ， 类 似 XP 系 统 中 提示 卫 地 址 冲突 一 样 。 不 过 这 种 情 
况 下 可 以 不 管 这 些 警 告 ， 继 续 单 击 图 1-10 所 示 的 “是 (Y)” 按 钮 。 


图 1-10 ”Win 7 系统 弹出 的 “警告 ”对 话 框 
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(3) 进 行 完 上 面 的 配置 后 ， 发 现 图 1-8 示 意图 中 的 电脑 PC 还 是 能 够 正常 访问 互 
联网 ， 并 没有 因为 把 两 个 网 卡 配 置 都 配置 成 一 样 的 耳 地 址 ， 而 导致 访问 Intemet 失 
败 。 不 过 这 时 Win 7 系统 还 是 自动 地 对 电脑 PC 上 两 个 网 卡 的 网 络 参数 配置 作 了 修 
改 。 因 为 在 “(1)” 中 我 们 已 经 把 网 卡 “Realtek RTL8139” 的 各 项 网 络 参数 配置 
成 了 如 图 1-9 所 示 的 数值 ， 但 是 到 现在 的 第 (3) 步 ， 当 我 们 再 次 打开 网 卡 “Realtek 
RTL8139” 的 网 络 配 置 参 数 时 ， 会 发 现 它 上 面 的 配置 参数 变 成 了 如 图 1-11 所 示 的 
情况 ， 和 图 1-9 所 示 的 已 经 有 所 变化 。 


回 自动 获得 IP 地 址 (0) 
余 使 用 下 面 的 IP 地 址 (S) : 
IP 地 址 (IT) : 


子 网 掩 码 (U) : 


默认 网 关 (D) : 192 .168 .201 .254 


自动 获得 DNS 服务 器 地 址 (B) 
加 使 用 下 面 的 DNS 服务 器 地 址 (E) : 


首选 DNS 服务 器 (P) : 85 .61 .14 .251| 
备用 DNS 服务 器 (4) : We 


辕 退出 时 验证 设置 (L) 
[取消 |] 
图 1-11 网 卡 “Realtek RTL8139” 上 的 配置 参数 发 生变 化 
(4 在 图 1-11 中 会 发 现 ， 在 图 1-9 中 配置 的 “IP 地 址 ”和 “ 子 网 掩 码 ” 两 个 参 
数 已 经 消失 了 ， 其 他 的 网 络 参 数 到 还 存在 。 另 外 ， 网 卡 “Intel(R)82566DM” 
的 IP 地 址 是 自动 从 DHCP 服 务 器 上 获得 的 ， 这 时 可 以 查看 一 下 它 上 面 的 网 络 参 
数 会 有 什么 变化 ? 如 图 1-12 所 示 ， 是 网 卡 “Intel(R)82566DM” 上 的 参数 变化 情 
况 。 按 道理 说 自动 人 DHCP 服务 器 上 获取 各 项 网 络 配置 参数 ， 是 不 会 在 “默认 
网 关 (D)” 的 后 面 显示 出 数值 的 ， 但 现在 却 把 自动 获得 的 “192.168.201.254” 的 
网 关 地 址 显示 出 来 了 。 引 起 这 种 变化 ， 还 是 因为 在 Win 7 系统 中 把 网 卡 “Realtek 
RIL8139” 的 网 络 参数 配置 成 和 网 卡 “Intel(R)82566DM” 一 样 的 。 
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Internet 协议 版 本 4 


常规 。 | 备用 配置 
TT ”2 


加 自动 获得 IP 地 址 (0) 
全 使 用 下 面 的 IP 地 址 (S) : 


IP 地 址 (IT)， 


子 网 搞 码 (U) : 

默认 网 关 (D) : 192 .168 .201 .254 
图 自动 获得 DNS 服务 器 地 址 (B) 

全 使 用 下 面 的 DNS 服务 器 地 址 (E) : 

首选 DNS 服 js 

备用 DNS 服 


加 退出 时 验证 设置 (L) 高 级 (V)... 
rr] 


图 1-12 网卡“Intel(R) 82566DM” 上 的 网 络 参数 


(5) 为 了 进一步 了 解 清楚 两 块 网 卡 的 网 络 参 数 配置 情况 ， 就 在 “命令 提示 符 
CMD” 中 执行 了 “ipconfig” 命 令 ， 得 到 了 如 下 所 示 的 输出 结果 : 


C:\Users\Administrator>ipconfig 
Windows IP 配置 


以 太 网 适配器 本 地 连接 2: 


EA te 192.168.201.35 
Te 全 全 全 省 25562555255R0 
默 状 网 关 丰 用 下 192.168.201.254 

以 太 网 适配器 本 地 连接 : 

自动 配置 IPv4 地 址 .......: 169.254.54.175 
lv 25582550080 


Np loa 020A 
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从 上 面 的 输出 可 以 看 出 网 卡 “Realtek RTL8139” 对 应 的 就 是 “本 地 连接 ”， 在 上 
面 “(1)” 中 对 其 手工 配置 的 IPv4 地 址 和 子 网 掩 码 “192.168.201.35” “255.255.255.0”， 
已 变 成 了 上 面 的 “169.254.54.175”“255.255.0.0”。 所 以 ， 这 时 电脑 PC 是 使 用 
“本 地 连接 2” 的 网 卡 “Intel(R)82566DM” 和 外 界 进行 通信 和 的。 另外， 在 电脑 PC 
中 执行 “route print” 命 令 ， 会 得 到 如 下 所 示 的 输出 结果 : 


IPv4 路 由 表 


活动 路 由 : 
网 络 目标 。” 网 络 掩 码 ”网 关 接口 跃 点 数 
0.0.0.0 0.0.0.0 192.168.201.254 192.168.201.35 20 


0.0.0.0 0.0.0.0 192.168.201.254 169.254.245.211 266 


输出 中 的 “IPv4 路 由 表 ” 包 括 两 条 默认 路 由 ， 很 明显 第 一 条 的 “ 跃 点 数 ” 
比 第 二 条 要 小 的 多 ， 所 以 PC 还 是 选择 第 一 条 作为 它 和 外 界 通信 的 默认 路 由 。 
第 二 条 路 由 中 的 “接口 ”地 址 成 为 了 “169.254.245.211”， 所 以 即使 第 一 条 
默认 路 由 不 能 使 用 ，PC 也 不 能 使 用 第 二 条 路 由 和 外 界 进行 通信 。 也 就 是 一 旦 
网 卡 “Intel(R)82566DM” 故 障 ， 电 脑 PC 将 不 能 访问 Internet。 网 卡 “Realtek 
RIL8139” 也 没有 起 到 提高 PC 访问 互联 网 的 高 可 靠 性 。 

从 上 面 的 测试 步骤 可 以 得 出 这 样 的 结论 : “在 Win 7 系统 中 ， 当 把 两 块 网 卡 
的 耳 地 址 配置 成 一 样 时 ， 系 统 会 自动 对 两 个 网 卡 的 网 络 参数 配置 进行 调整 ， 以 保 
证 操作 系统 和 外 界 网 络 的 正常 通信 。” 

5. 总 结 

(]) 经 过 上 面 的 分 析 ， 为 了 提高 用 户 访问 网 络 的 高 可 靠 性 ， 可 以 按照 图 1-7 和 
图 1-8 的 网 络 示意 图 ， 在 用 户 的 电脑 上 安装 配置 两 块 网 卡 即 可 。 一 块 网 卡 故 障 ， 
另 一 块 网 卡 还 可 以 继续 担负 起 访问 互联 网 的 任务 。 但 图 1-7 和 图 1-8 的 连接 示意 图 
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只 是 测试 时 使 用 的 方案 。 在 实际 的 部 署 中 ，PC 上 两 个 网 卡 要 分 别 连 接 在 不 同 的 
Cisco3750 上 ， 这 样 即 使 其 中 的 一 台 3750 故 障 ， 也 不 影响 PC 访问 Intemet。 


(2) 提 高 终端 用 户 访问 网 络 的 可 靠 性 ， 还 有 一 种 解决 方案 就 是 使 用 双 网 卡 绑 
定 软件 。 但 这 些 软件 的 使 用 ， 无 疑 也 增加 了 故障 发 生 的 概率 。 若 是 双 网 卡 绑 定 
的 软件 出 现 了 问题 ， 同 样 也 会 导致 用 户 不 能 访问 网 络 。 所 以 ， 在 普通 用 户 的 电脑 
上 ， 直 接 安装 两 块 网 卡 ， 不 使 用 双 网 卡 绑 定 软件 ， 是 提高 电脑 访问 网 络 的 高 可 靠 
性 比较 好 的 方案 。 


但 如 果 是 服务 器 的 话 ， 建 议 还 是 使 用 双 网 卡 绑 定 软件 的 方案 。 因 为 在 网 络 
中 服务 器 和 普通 PC 最 大 的 不 同 就 是 ， 服 务 器 上 的 上 行 流量 比较 大 ， 更 多 的 是 把 
服务 器 上 的 资源 通过 网 络 传送 给 用 户 。 而 对 于 普通 的 PC 则 是 网 络 下 行 流量 比较 
大 ， 更 多 的 是 把 网 络 上 的 资源 下 载 到 PC 上 。 若 是 在 服务 器 上 安装 两 个 网 卡 ， 给 
每 个 网 卡 配 置 一 个 耳 地址， 往往 会 导致 很 多 网 络 故障 。 同 时 也 增加 了 部 署 应 用 系 
统 和 排除 网 络 方面 故障 的 复杂 度 。 


常用 的 双 网 卡 绑 定 软件 有 NIC Express 和 Intel 的 双 网 卡 绑 定 软件 。NIC Express 
还 可 以 通过 绑 定 多 块 网 卡 ， 达 到 增加 网 络 带宽 的 功能 。 但 需要 注意 的 一 点 就 是 ， 
在 绑 定 多 块 网 卡 时 ， 每 一 块 网 卡 的 传输 速率 必须 相同 ， 这 样 才 可 以 在 网 络 达到 高 
负荷 运行 状态 时 ， 起 到 负载 均衡 的 作用 。 


(3)Windows 系 统 中 的 Route 命令 。 该 命令 的 主要 作用 是 用 来 显示 、 添 加 和 修 
改 Windows 系 统 中 的 路 由 表 项 目 。 主 要 包括 四 种 命令 : “route print” 命 令 是 打印 
路 由 ; “route add” 命 令 是 添加 路 由 ; “route delete” 命 令 是 删除 路 由 ; “route 
change” 命 令 是 修改 现 有 路 由 。 使 用 不 带 参数 的 “route” 命 令 ， 可 以 显示 相关 的 
帮助 信息 。 


像 在 上 面 使 用 的 “route print” 命 令 ， 就 是 显示 出 了 PC 中 当前 路 由 表 中 使 用 
的 路 由 条 目 。 当 在 网 卡 上 配置 了 IP 地 址 后 ， 与 人 地 址 相关 的 路 由 条 目 就 会 自动 地 
添加 到 操作 系统 的 路 由 表 中 。 执 行 “route print” 命 令 的 输出 内 容 中 ， 还 包括 一 
个 “ 跃 点 数 ” 的 参数 ， 它 的 取 值 范围 是 1~9999 之 间 的 整数 ， 用 来 在 路 由 表 里 的 
多 个 路 由 中 选择 与 转发 包 中 的 目标 地 址 最 为 匹配 的 路 由 。 所 选 的 路 由 必须 具有 最 
小 的 跃 点 数 。 跃 点 数 能 够 反映 出 跃 点 的 数量 、 路 径 的 速度 、 可 靠 性 、 吞 吐 量 及 管 
理 属性 等 。 
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其 实 “ 跃 点 数 ” 就 对 应 每 条 路 由 中 的 METRIC 参 数 ， 它 可 以 通过 “route 
change” 命 令 进行 修改 。 当 通过 “route add” 命 令 添 加 一 条 路 由 时 ， 也 会 涉及 
到 METRIC 参 数 。 例 如 添加 路 由 的 命令 “route ADD 157.0.0.0 MASK 255.0.0.0 
157.55.80.1 METRIC 3 IF 2” 中 的 “METRIC 3”， 就 指定 了 该 条 路 由 的 跃 点 数 。 


导致 路 由 表 中 某 条 路 由 的 跃 点 数 比较 大 的 主要 原因 是 ，TCP/IP 协 议 是 根据 每 
个 接口 的 人 P 地 址 、 子 网 掩 码 和 默认 网 关 的 配置 ， 自 动 确定 路 由 表 中 各 路 由 的 跃 点 
数 造成 的 。 默 认 情 况 下 在 Windows 系 统 中 ，“ 自 动 跃 点 ”的 功能 是 开启 的 ， 它 指 
定 了 每 个 接口 的 速度 和 路 由 跃 点 数 。 因 此 最 快 接口 所 创建 的 路 由 具有 最 低 的 跃 点 
数 。 要 关闭 “自动 跃 点 ”功能 ， 可 以 在 “开始 ”一 “控制 面板 ”一 “网 络 和 共 
享 中 心 ”一 “更 改 适配器 设置 ”一 双击 “本 地 连接 ”一 双击 “Internet 协 议 版 本 
4(TCP/IPv4)” 一 “高 级 ”。 如 图 1-13 所 示 ， 在 “自动 跃 点 (U)” 的 前 面 把 勾 去 掉 
就 可 以 了 。 


(4) 测 试 和 实验 。 在 上 面 的 步骤 中 ， 其 实 就 是 一 种 测试 实验 。 所 搭建 的 网 络 
模型 ， 和 在 网 络 设备 上 所 做 的 各 种 配置 到 底 能 不 能 正确 执行 ， 都 是 需要 经 过 实 实 
在 在 的 实验 才能 最 终 下 结论 的 。 任 何 知识 只 有 经 过 实践 的 检验 才能 最 终 确 定 它 的 
正确 性 ! 所 以 ，“ 实 践 是 检验 真理 的 唯一 标准 ”这 句 话 ， 对 于 每 一 个 从 事 网 络 工 
作 的 同志 ， 更 应 该 牢 牢 铭记 ! 


| 本 级 TCPAIP 设置 
| [Ir lens [is 
IP 地 址 (R) 


IP 地 址 
已 启用 DHCP 


添加 (4). .，| | 编辑 (E).. . 删除 (Y) 


默认 网 关 (F) : 
网 关 


自动 路 点 (0) 
接口 跃 点 数 (8) : 


图 1-13 关闭 “自动 跃 点 ”功能 图 示 
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包括 平时 在 书本 上 或 网 络 上 看 到 一 些 知识 点 ， 可 能 在 原理 上 都 能 明白 ， 知 道 
它们 运行 的 机 制 和 过 程 。 但 即使 是 这 样 ， 也 只 有 通过 把 这 些 知识 点 涉及 到 的 一 些 
命令 在 交换 机 、 路 由 器 等 设备 上 操作 一 遍 ， 看 看 它们 到 底 符合 不 符合 书 上 所 讲 的 
结果 。 这 样 心底 才能 “踏实 ”地 接受 这 个 知识 点 ， 因 为 它 经 过 了 实践 的 检验 ! 


所 有 从 事 网 络 工作 者 ， 一 定 要 不 断 地 给 自己 创造 参与 实践 工作 的 机 会 。 如 果 
在 工作 中 能 接触 到 现成 的 网 络 设备 更 好 ， 这 样 学 习 起 来 更 方便 。 要 是 达 不 到 这 种 
条 件 的 话 ， 可 以 参加 一 些 培训 班 ， 它 们 多 多 少 少 都 能 提供 一 些 操作 实验 。 实 在 不 
行 ， 还 可 以 使 用 一 些 模拟 器 ， 如 Dynamips， 它 们 所 搭建 起 来 的 实验 环境 也 很 接 
近 真 实 的 网 络 环境 。 总 之 ， 一 切 网 络 知识 ， 只 有 经 过 实践 的 检验 ， 才 能 算 它 是 正 
确 的 ， 也 才能 算 自己 真正 掌握 了 它 。 


1.4” 运 维 实 例 : 双 IP 地 址 引起 的 网 络 故 障 


网 络 结构 图 如 图 1-14 所 示 ， 为 了 确保 重要 设备 的 稳定 性 和 宛 余 性 ， 核 心 层 交 
换 机 使 用 两 台 Cisco4507， 通 过 Trunk 线 连接 。 在 接 入 层 使 用 了 多 台 Cisco3560 交 换 
机 ， 图 示 为 了 简洁 ， 只 画 出 了 两 台 。 在 核心 交换 机 上 连接 有 单位 重要 的 服务 器 ， 
如 DHCP、E-MAIL 服 务 器 、WEB 服 务 器 等 。 单 位 耳 地址 的 部 署 ， 使 用 的 是 C 类 私 
有 192 网 段 的 地 址 。DHCP 服 务 器 的 IP 地 址 为 192.168.10.1，E-MAIL 服 务 器 的 IP 地 
址 是 192.168.3.1。Cisco4507 和 Cisco3560 之 间 也 是 Trunk 连 接 。 


公司 根据 部 门 性 质 的 不 同 ， 把 它们 划 入 到 不 同 的 VLAN 中 。 服 务 器 都 位 于 
VLAN 2~VLAN 10 中 ， 对 应 的 网 络 号 是 192.168.2.0 一 192.168.10.0， 如 DHCP 服 
务 器 位 于 VLAN 10 中 ， 流 媒体 服务 器 位 于 VLAN 2 中 。 服 务 器 的 IP 地 址 、 默 认 网 
关 和 DNS 都 是 静态 配置 的 。VLAN 11~VLAN 100 是 属于 业务 部 门 使 用 的 ， 对 应 
的 网 络 号 是 192.168.11.0 一 192.168.100.0。VLAN 101~VLAN 200 是 属于 办 公 部 门 
使 用 的 ， 对 应 的 网 络 号 是 192.168.101.0 一 192.168.200.0。VLAN 号 和 网 络 号 之 间 
都 是 对 应 的 。VLAN 中 的 PC 都 是 通过 Cisco3560 接 入 到 网 络 中 ，3560 都 是 二 层 配 
置 ， 三 层 的 配置 都 在 Cisco4507 上 ， 也 就 是 VLAN 间 的 路 由 都 是 通过 4507 完 成 的 。 
了 PC 的 下 地 址 、 默 认 网 关 和 DNS 都 是 自动 从 DHCP 服 务 器 上 获得 的 ， 不 用 手工 静态 
配置 。 
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用 户 组 
图 1-14 单位 网 络 结构 图 


1. 故障 发 生 的 过 程 

公司 流 媒体 服务 器 位 于 VLAN 2 中 ，IP 地 址 为 192.168.2.8/24。 网 络 中 有 权限 
的 用 户 可 以 进入 到 服务 器 中 下 载 、 上 传 和 编辑 一 些 视频 剪辑 。 一 天 早上 ， 业 务 网 
VLAN 12 中 的 很 多 用 户 反映 它们 部 门 的 人 员 都 不 能 访问 流 媒体 服务 器 ， 也 不 能 进 
入 服务 器 中 流 媒 体 应 用 系统 的 Web 界 面 。 

但 是 VLAN 12 中 的 用 户 访问 其 他 VLAN 中 服务 器 上 的 应 用 都 很 正常 ， 如 都 能 
正常 访问 VLAN 3 中 的 E-MAIL 服务 器 。 而 且 办 公 网 和 业务 网 中 除了 VLAN 12， 其 
他 VLAN 中 的 用 户 ， 都 能 正常 访问 流 媒体 服务 器 ， 也 就 是 只 有 VLAN 12 中 的 用 户 
访问 不 了 。 因 为 流 媒 体 应 用 是 单位 业务 中 一 项 很 重要 的 应 用 ， 若 长 时 间 不 能 用 的 
话 ， 可 能 会 影响 到 公司 业务 正常 运转 ， 所 以 必须 尽快 排除 故障 。 

2. 排查 故障 的 步骤 

(1) 通 过 对 故障 信息 的 收集 ， 我 们 确定 了 网 络 故 障 的 大 概 示意 图 ， 如 图 1-15 所 
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示 。 不 能 访问 流 媒体 服务 器 的 用 户 亿 地 址 的 网 络 号 都 是 192.168.12.0/24。 他 们 访 
问 流 媒 体 服 务 器 的 路 径 先是 到 Cisco3560， 通 过 Cisco4507， 最 后 到 达 服 务 器 。 


流 媒体 Server 5 


192.168.2.8/24 4509 


3560 


~ 


{ VLAN 12 用 户 

192168120124] 

SS 

图 1-15 ”存在 故障 的 网 络 示意 图 
(2) 我 们 到 不 能 访问 流 媒体 服务 器 的 部 门 ， 查 看 了 用 户 的 PC， 发 现 电 脑 上 的 
卫 地 址 、 默 认 网 关 、DNS 都 是 正确 的 。 然 后 我 们 在 用 户 电 脑 的 “命令 行 ”中 执行 
“ping 192.168.2.8” 命 令 ， 结 果 ping 不 通 。 然 后 又 执行 了 ping VLAN 12 网 关 地 址 
的 命令 “ping 192.168.12.254”， 发 现 能 ping 通 。 为 了 确定 出 具体 的 故障 部 位 ， 又 
在 “命令 行 ” 中 执行 了 “tracert 192.168.2.8” 命 令 ， 显 示 的 结果 如 下 所 示 : 


CN Stracert 192.168。2°8 

Tracing route to 192.168.2.8 over a maximum of 30 hops 
2 <1 ms < ms <1 ms "192.168. 12.254 
2 入 于 Request timed out. 


加 上 . es Request timed out. 
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上 面 命令 的 显示 结果 还 有 27 行 省 略 了 ， 因 为 数据 包 不 能 到 达 目 的 地 ， 后 面 27 
项 和 第 2、3 项 的 内 容 一 样 。 


从 上 面 的 结果 可 以 看 出 ， 用 户 访问 流 媒体 服务 器 时 ， 数 据 包 只 能 到 达 
192.168.12.254， 再 往 下 路 径 就 发 生 了 故障 ， 不 能 到 达 目的 地 。 从 前 面 的 介绍 
知道 Cisco3560 上 是 没有 IP 地 址 配置 的 ， 它 们 都 是 作为 二 层 交 换 机 接 入 到 网 络 中 
的 ， 所 有 三 层 的 地 址 都 是 在 Cisco4507 上 配置 的 。 也 就 是 用 户 访问 流 媒体 服务 器 
的 数据 能 到 达 4507， 然 后 再 往 下 就 不 知道 哪 出 现 了 故障 。 可 能 是 流 媒体 服务 器 故 
障 ， 也 可 能 是 连接 流 媒体 服务 器 和 核心 交换 机 4507 之 间 的 链 路 发 生 了 故障 。 


(3) 为 了 确定 是 服务 器 故障 ， 还 是 服务 器 和 4507 之 间 链 路 的 故障 。 我 们 把 连 
接 服务 器 的 千 兆 网 线 接头 拔 下 来 ， 然 后 把 接头 接 入 到 一 台 状 态 良好 的 PC 上 ，PC 
上 的 IP 地 址 、 默 认 网 关 、DNS 的 配置 和 流 媒 体 服务 器 上 的 配置 完全 一 样 。 接 着 ， 
再 次 在 不 能 访问 流 媒体 应 用 的 用 户 电脑 上 执行 了 “ping 192.168.2.8”， 结 果 一 切 
正常 ， 网 络 是 通 的 。 


(4) 到 现在 就 能 确定 ， 问 题 出 现在 流 媒体 服务 器 上 。 不 过 ， 现 在 还 不 能 确定 
是 服务 器 上 流 媒体 的 应 用 系统 有 问题 ， 还 是 服务 器 上 的 网 络 设置 方面 有 问题 。 接 
着 我 们 查看 了 服务 器 上 网 络 方面 的 设置 ， 如 图 1-16 所 示 ， 是 在 服务 器 “命令 行 ” 
中 执行 “ipconfig /all” 显 示 出 的 结果 。 


图 1-16 流 媒 体 服务 器 的 下 地 址 配置 


到 这 里 已 基本 确定 引起 网 络 故 障 的 原因 ， 就 是 因为 在 流 媒体 服务 器 的 网 卡 上 
配置 了 两 个 了 了 地址， 其 中 192.168.12.18/24 就 是 引起 故障 的 错误 配置 。 


(5) 在 流 媒体 服务 器 控制 面板 的 “网 络 连接 ”中 ， 找 到 和 耳 地 址 192.168.2.8 对 
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应 的 “本 地 连接 ”， 然 后 双击 “本 地 连接 ”图 标 ， 在 “属性 ”一 “Internet 协 议 
(TCP/IP) 属 性 ”一 “高 级 ”， 找 到 了 添加 错误 人 P 地 址 192.168.12.18 的 地 方 ， 如 图 
1-17 所 示 。 


.DNS 
IP 地 址 (R) 


IP 地 址 子 网 挤 码 
192.168.2.8 255. 255. 255. 0 
192.168.12.18 255. 255. 255.0 


| 


默认 网 关 (F): 


网 关 跃 点 数 
192. 168. 2. 254 自动 


[攻关 OO (CR) 


回 自动 跃 点 (0) 
接口 跃 点 数 (N) : 


图 1-17 添加 /删除 他 地 址 示意 图 


在 图 1-17 中 ， 选 中 IP 地 址 192.168.12.18， 然 后 单 击 “ 删 除 ” 按 钮 ， 就 把 网 卡 
上 错误 的 了 地 址 删除 了 。 这 时 ，VLAN 12 中 的 用 户 也 可 以 正常 访问 流 媒体 服务 器 
中 的 应 用 了 。 


3. 总 结 


(1) 如 图 1-18 所 示 ， 是 网 络 故 障 期 间 ， 在 流 媒体 服务 器 的 “命令 行 ” 中 执行 
“route print” 命 令 得 到 的 结果 。 其 中 ， 红 线 标 出 的 ， 就 是 上 面 在 用 户 的 电脑 上 
执行 “tracert 192.168.2.8” 命 令 后 ， 数 据 包 不 能 从 流 媒体 服务 器 返回 到 VLAN 12 
用 户 PC 的 原因 所 在 。 
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图 1-18 流 媒 体 服务 器 中 的 路 由 表 


因为 在 VLAN 12 中 的 用 户 PC 上 执行 “tracert 192.168.2.8” 的 命令 后 ， 
Tracert 数 据 包 中 的 目的 IP 地 址 是 192.168.2.8，PC 根 据 电脑 中 的 默认 网 关 地 址 
192.168.12.254， 先 把 数据 包 传输 到 Cisco3560， 然 后 再 到 达 Cisco4507。4507 查 看 
了 Tracert 数 据 包 中 的 目的 耳 地 址 是 192.168.2.8， 知 道 它 是 要 去 往 VLAN 2 中 的 ， 然 
后 4507 把 Tracert 数 据 包 传输 到 流 媒体 服务 器 。 


当 流 媒体 服务 器 收 到 Tracert 数 据 包 后， 发 现 数据 包 的 目的 卫 地 址 正 是 自己 的 
IP 地 址 ， 它 把 数据 包 收 下 后 。 然 后 根据 Tracert 命 令 的 约定 ， 它 还 要 给 VLAN 2 中 
的 用 户 PC 返回 一 个 Tracert 数 据 包 ， 这 时 返回 的 这 个 数据 包 的 目的 了 地址 ， 对 应 的 
网 络 地 址 就 是 192.168.12.0/24， 接 着 流 媒体 服务 器 就 在 自己 的 路 由 表 查 找到 达 目 
的 网 络 192.168.12.0/24 的 路 由 ， 结 果 它 就 在 自己 的 路 由 表 中 就 找到 了 图 1-18 中 红 
线 标 出 的 路 由 项 目 ， 在 其 中 它 找到 网 络 192.168.12.0/24， 是 和 自己 的 链 路 ， 也 就 
是 网 卡 直接 相连 的 ， 因 为 路 由 项 目 中 显示 的 “网 关 ” 对 应 项 是 “在 链 路 上 ”。 这 
种 情况 下 流 媒体 服务 器 就 不 会 把 要 返回 的 Tracert 数 据 包 路 由 到 VLAN 2 之 外 。 结 
果 VLAN 12 中 的 用 户 也 就 不 会 收 到 返回 的 Tracert 数 据 包 。 


(2) 通 常 在 计算 机 网 卡 、 交 换 机 和 路 由 器 的 端口 上 都 能 配置 两 个 或 多 个 IP 地 
址 ， 在 前 两 者 上 的 主要 作用 是 为 了 实现 连接 在 同一 局 域 网 上 不 同 网 段 之 间 的 通 
信 。 一 般 由 于 一 个 网 段 中 所 包含 的 人 P 地 址 对 于 用 户 来 说 不 够 用 ， 就 可 以 采用 配置 
多 个 IP 地 址 的 办 法 来 扩大 接 入 到 局 域 网 中 用 户 的 数量 。 而 在 路 由 器 的 端口 上 配置 
两 个 或 多 个 人 P 地 址 主要 是 实现 连 在 同一 路 由 器 端口 的 不 同 网 段 的 通信 ， 但 这 时 要 
注意 启用 端口 上 的 人 P 重 定向 功能 ， 因 为 一 般 路 由 器 不 允许 从 同一 端口 进来 的 IP 数 
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据 包 又 发 回 到 原 端 口中 。 启 用 了 重 定向 功能 ， 就 允许 在 同一 端口 进入 路 由 器 的 人 P 
数据 包 由 原 端口 再 发 送 回去 。 但 是 在 计算 机 网 卡 、 交 换 机 和 路 由 器 的 端口 上 配置 
多 个 IP 地 址 常常 会 给 网 络 带 来 意 想不到 的 故障 ， 所 以 一 般 没有 特殊 需求 ， 不 要 在 
同一 端口 上 配置 多 个 JP 地 址 。 


(3) 这 次 公司 流 媒体 服务 器 的 故障 也 是 因为 在 故障 的 前 一 天 晚上 ， 负 责 流 媒 
体 应 用 系统 软件 开发 的 厂商 在 公司 调试 软件 ， 因 为 软件 测试 的 需要 ， 要 在 流 媒体 
服务 器 的 网 卡 上 临时 再 配置 一 个 人 P 地 址 ， 技 术 人 员 就 随便 配置 了 192.168.12.18 这 
个 地 址 。 测 试 完成 后 ， 技 术 人 员 离 开 公司 时 忘 了 把 这 个 人 P 地 址 删除 掉 ， 结 果 就 导 
致 了 第 二 天 早上 的 网 络 故 障 。 


按照 规定 ， 对 机 房 服务 器 上 每 一 步 重 要 的 操作 ， 都 要 记录 在 服务 器 日 志 
记 本 上 。 完 成 操作 后 ， 要 逐 项 查看 登记 本 ， 是 否 把 服务 器 恢复 到 了 初始 的 正常 状 
态 。 但 因为 双方 的 技术 人 员 都 没有 严格 执行 机 房管 理 规定 ， 从 而 造成 了 意外 的 朴 
漏 。 看 来 网 络 管理 无 小 事 ， 必 须 从 点 滴 做 起 ， 从 我 做 起 。 


1.$S 运 维 实例 : 深刻 理解 HSRP 


HSRP(Hot Standby Router Protocol) 热 备份 路 由 器 协议 ， 即 多 台 路 由 器 组 成 一 
个 “ 热 备份 组 ”， 模 拟 成 一 个 虚拟 的 路 由 器 ， 虚 拟 路 由 器 拥有 虚拟 的 IP 地 址 和 
虚拟 的 MAC 地 址 。 在 一 个 热 备份 组 中 ， 只 有 一 台 路 由 器 作为 活动 路 由 器 转发 数 
据 包 ， 只 有 当 活动 路 由 器 失效 后 ， 才 会 选择 一 台 备份 路 由 器 作为 活动 路 由 器 ， 但 
对 于 网 络 中 的 主机 来 说 ， 虚 拟 路 由 器 并 没有 发 生 任何 改变 ， 不 会 导致 主机 通信 中 
断 现象 。 


下 面 通过 一 则 实例 ， 通 过 介绍 其 配置 和 运行 过 程 ， 将 能 更 好 地 理解 HSRP 协 
议 的 作用 。 
1. 网 络 拓扑 结构 介绍 


网 络 拓扑 图 如 图 1-19 所 示 。 两 台 核心 交换 机 型 号 为 Cisco Catalyst 4507R， 每 
台 4507R 上 使 用 两 块 引擎 ，Cisco Catalyst 4507R 上 两 块 引 擎 的 名 称 分 别 为 4507A- 
Rl1、4507A-R2，4507B 上 的 分 别 为 4507B-R1、4507B-R2。4507A 和 4507B 通 过 
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Trunk 口 连接 ，4507A 和 3750A，4507B 和 3750B 之 间 也 是 通过 Trunk 口 连接 。4 台 
交换 机 中 都 运行 VIP 协议 ， 其 中 4507A 中 VTP 运 行 模式 是 server 模 式 ， 其 他 3 台 交 
换 机 中 VTP 运 行 的 模式 是 client 模 式 ， 并 且 在 4507A 中 创建 了 VLAN 100 和 VLAN 
200。 


Trunk Trunk my 
| 
4507A 4507B 
‘Trtk Trunk 10.10.1.1 


图 1-19 络 结构 图 


两 台 3750 交 换 机 上 共 接 入 了 8 台 PC，VLAN 100 和 VLAN 200 中 各 分 配 4 台 。8 
台电 脑 自 动 获取 卫 地 址 、 默 认 网 关 、DNS 服 务 器 地 址 ， 这 些 地 址 都 是 通过 DHCP 
服务 器 自动 分 配 的 。DHCP 服 务 器 的 JP 地址 配置 为 10.10.1.1/24。 网 络 的 搭建 也 
充分 考虑 了 核心 交换 机 的 元 余 性 ， 若 4507B 故 障 ， 则 3750B 上 的 数据 可 先 到 达 
3750A， 最 后 再 到 达 核 心 交换 机 4507A。 同 理 ， 若 4507A 故 障 ， 也 不 影响 3750A 上 
的 数据 到 达 核 心 交换 机 4507B。 


2. DHCP 服 务 器 的 配置 


DHCP 服 务 器 的 配置 如 图 1-20 和 图 1-21 所 示 。 需 要 说 明 的 是 ，VLAN 100 的 默 
认 网 关 要 指向 10.10.100.254， 而 不 是 10.10.100.253 或 10.10.100.252。 同 理 ，VLAN 
200 的 默认 网 关 也 要 指向 10.10.200.254。 
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THCP 地 址 池 

日 -区 vinrserver2003 二 -- 
日 重 作用 域 [10.10.100.0] | 起 始 王 地 址 [结束 I 地址 
本 地 址 池 10. 10. 100.2 10. 10. 100. 240 


地 址 分 发 范 轩 


蝇 win-server2003 和 pe 
日 食 作用 域 [10. 10.200.0] A » 结 东 Tn 
Ett; | .200. ; 地 址 分 发 范围 
后 地 址 租约 
鳃 保 久 
饮 作 用 域 选项 


图 1-21 VLAN 200 的 DHCP 配 置 


3. HSRP 配 置 的 详细 说 明 
4507A 引 擎 1 上 的 HSRP 配 置 如 下 所 示 : 


4507A-R1 

interface VLAN100 
ip address, 1l0.10.1005253 255.255.255.0 
ip helper-address 10.10.1.1 
standby 100 priority 150 preempt 


standby 100 ip 10.10.100.254 


interface VLAN 200 

3p. addreas 10.10.200.253™ 255.255a255a0 
ip helper-address 10.10.1.1 

standby 200 priority 150 preempt 


standby 200 ip 10.10.200.254 
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其 中 命令 “ip address 10.10.100.253 255.255.255.0” 是 给 指定 的 VLAN 配 置 IP 
地 址 。 


命令 “ip helper-address 10.10.1.1” 是 确保 两 台 3750 交 换 机 上 的 所 有 主机 获取 
IP 地 址 、 默 认 网 关 和 DNS 服 务 器 地 址 时 ， 是 从 10.10.1.1 的 DHCP 服 务 器 上 自动 获 
取 到 的 。 


命令 “standby 100 priority 150 preempt” 中 的 “priority” 是 配置 HSRP 的 优 
先 级 ，100 为 组 序号 ， 它 的 取 值 范围 为 0~255，150 为 优先 级 的 值 ， 取 值 范 围 为 
0 一 255， 数 值 越 大 优先 级 越 高 。 


优先 级 将 决定 一 台 路 由 器 在 HSRP 备 份 组 中 的 状态 ， 优 先 级 最 高 的 路 由 器 将 
成 为 活动 路 由 器 ， 其 他 优先 级 低 的 路 由 器 将 成 为 备用 路 由 器 。 当 活动 路 由 器 失效 
后 ， 备 用 路 由 器 将 替代 它 成 为 活动 路 由 器 。 当 活动 和 备用 路 由 器 都 失效 后 ， 其 他 
路 由 器 将 参与 活动 和 备用 路 由 器 的 选举 工作 。 优 先 级 都 相同 时 ， 接 口 卫 地 址 高 的 
将 成 为 活动 路 由 器 。 

“preempt” 是 配置 HSRP 为 抢占 模式 。 如 果 需 要 高 优先 级 的 路 由 器 能 主动 抢 
占 成 为 活动 路 由 器 ， 则 要 配置 此 命令 。 配 置 preempt 后 ， 能 够 保证 优先 级 高 的 路 
由 器 失效 恢复 后 总 能 成 为 活动 路 由 器 。 活 动 路 由 器 失效 后 ， 优 先 级 最 高 的 备用 路 
由 器 将 处 于 活动 状态 ， 如 果 没 有 使 用 preempt 技 术 ， 则 当 活动 路 由 器 恢复 后 ， 它 
只 能 处 于 备用 状态 ， 先 前 的 备用 路 由 器 代替 其 角色 处 于 活动 状态 。 


命令 “standby 100 ip 10.10.100.254” 作 用 是 启动 HSRP， 如 果 虚 拟 卫 地址 不 
指定 ， 路 由 器 就 不 会 参与 备份 。 虚 拟 卫 应 该 是 接口 所 在 的 网 段 内 的 地 址 ， 不 能 为 
接口 上 的 人 P 地 址 。 


4507A 引 擎 2 上 HSRP 的 配置 如 下 : 


4507A-R2 
interface VLAN100 
ip address 10.10-1005252. 2555255525550 


ip helper-address 10.10.1.1 
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standby 100 priority 140 preempt 


standby 100 ip 10.10.100.254 


interface VLAN 200 

ip address 10.10.200.252 255.255.255.0 
ip helper-address 10.10.1.1 

standby 200 priority 140 preempt 


standby 200 ip 10.10.200.254 


由 以 上 命令 可 知 ， 当 4507A 引 擎 1 和 引擎 2 都 在 网 络 中 运行 时 ， 引 擎 1 是 主 状 
态 ， 引 擎 2 处 于 备用 状态 ， 因 为 引擎 1 的 优先 级 150 大 于 引擎 2 的 优先 级 140。 当 
然 ， 若 引擎 1 故障 ， 引 擎 2 就 马上 替代 引擎 1， 并 且 不 会 引起 网 络 的 中 断 。 


4507B 引 擎 1 和 引擎 2 上 HSRP 的 配置 如 下 所 示 : 


4507B-R1 

interface VLAN100 
3puaddressi0st0sT0025T 92552n5 :259-0 
ip helper-address 10.10.1.1 

standby 100 priority 130 preempt 


standby 100 ip 10.10.100.254 


interface VLAN 200 
ip address L010.2005251 255225525550 


ip helper-address 10.10.1.1 
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standby 200 priority 130 preempt 


standby 200 ip 10.10.200.254 


4507B-R2 

interface VLAN100 

ip address 10.10.100.250 255.255.255.0 
ip helper-address 10.10.1.1 

standby 100 priority 120 preempt 
standby 100 ip 10.10.100.254 

! 

interface VLAN 200 

ip address 10.10.200.250 255.255.255.0 
ip helper-address 10.10.1.1 

standby 200 priority 120 preempt 


standby 200 ip 10.10.200.254 


从 以 上 配置 可 以 看 到 ， 若 两 个 4507 上 的 4 块 引擎 都 处 于 运行 状态 ， 则 4507A 
上 的 引擎 1 处 于 活跃 状态 ， 因 为 引擎 1 的 优先 级 在 4 块 引擎 中 最 高 ， 其 他 3 块 引擎 处 
于 备用 状态 。 若 4507A 的 引擎 1 故障 ， 则 其 他 优先 级 高 的 引擎 会 马上 由 备用 状态 
转换 为 活跃 状态 ， 从 而 保证 了 网 络 不 会 中 断 。 


两 台 核心 交换 机 4507A 和 4507B 使 用 4 块 引擎 ， 也 极 大 提高 了 网 络 中 核心 交换 
机 的 稳定 性 和 宛 余 能 力 。 同 一 台 4507 上 的 某 一 块 引擎 故障 ， 这 人 台 4507 上 的 另 一 块 
引擎 会 马上 被 激活 ， 并 代替 故障 的 引擎 。 若 同一 台 的 两 块 引 擎 板 都 故障 ， 也 不 会 
影响 核心 交换 机 的 路 由 功能 ， 因 为 另 一 台 4507 上 的 引擎 会 马上 被 激活 ， 担 负 起 路 
由 的 任务 。 
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4. 总 结 


HSRP 技 术 应 用 在 OSI 参考 模型 的 第 三 层 ， 也 就 是 在 二 层 或 者 二 层 交 换 机 上 
不 存在 HSRP 技 术 的 应 用 。 


(1)HSRP 技 术 保 证 了 网 络 中 路 由 器 运行 的 高 度 可 靠 性 。 在 HSRP 路 由 体系 中 
共 包 括 3 种 路 由 器 : 一 是 活动 路 由 器 ， 负 责 转 发 ， 发 送 到 虚拟 路 由 器 的 数据 。 它 
通过 基于 UDP 端 口号 为 1985 的 广播 ， 发 送 Hello 消 息 ， 来 通告 它 的 活跃 状态 ; 二 
是 备用 路 由 器 ， 监 视 HSRP 组 中 的 运行 状态 ， 并 且 在 当前 活跃 路 由 器 不 可 用 时 ， 
迅速 承担 起 负责 数据 转发 的 任务 。 备 用 路 由 器 也 发 送 Hello 消 息 来 通告 组 中 其 他 
路 由 器 它 备份 路 由 器 的 角色 : 三 是 虚拟 路 由 器 ， 对 最 终 的 用 户 来 说 ， 它 代表 一 台 
能 持续 工作 的 路 由 器 设备 。 它 有 自己 的 MAC 和 JP 地 址 。 但 实际 上 它 是 不 转发 数 
据 包 的 ， 它 的 作用 仅仅 是 代表 一 台 可 用 的 路 由 设备 。 


通过 在 配置 了 HSRP 协 议 的 路 由 器 之 间 广 播 HSRP 优 先 级 ，HSRP 协 议 选 出 
当前 的 活跃 路 由 器 。 当 在 预先 设 定 的 一 段 时间 内 活跃 路 由 器 不 能 发 送 Hello 消 息 
时 ， 优 先 级 最 高 的 备用 路 由 器 变 为 活跃 路 由 器 。 为 了 减少 网 络 的 数据 流量 ， 在 
设置 完 活跃 路 由 器 和 备用 路 由 器 之 后 ， 只 有 活跃 路 由 器 和 备用 路 由 器 定时 发 送 
HSRP 报 文 。 


(2) 在 使 用 HSRP 技 术 时 ， 一 些 查 看 和 调试 的 命令 也 很 重要 ， 如 : “show 
standby brief” 命 令 是 显示 路 由 器 上 一 些 HSRP 简 要 的 信息 。 另 外 还 有 很 多 调试 
命令 ， 如 “debug standby events detail” 命 令 是 显示 HSRP 事 件 ; 命令 “debug 
standby error” 是 显示 HSRP 错 误 。 


1.6 ” 运 维 实例 : 网 络 设 备 热 备 部 署 的 3 种 模式 


在 网 络 和 数据 中 心 的 核心 区 域 ， 网 络 和 服务 器 的 热 备 部 署 已 是 非常 普遍 的 部 
署 模式 。 下 面 就 用 3 则 实例 介绍 网 络 中 网 络 设备 常用 的 热 备 部 署 模 式 ， 以 便 大 家 
在 以 后 的 工作 中 ， 能 够 根据 自己 的 网 络 实际 情况 ， 选 择 正确 的 网 络 设备 热 备 部 署 
模式 。 
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1. 二 层 交 换 机 的 热 备 份 部 署 模式 


这 种 热 备份 部 署 模式 在 网 络 中 也 是 最 常见 、 最 简单 的 部 署 方式 ， 一 般 在 网 络 
的 分 布 层 比 较 常见 。 为 了 实现 交换 机 的 元 余 性 ， 或 者 为 了 保障 连接 在 交换 机 上 的 
服务 器 的 持续 稳定 运行 ， 通 常 采用 这 种 部 署 方式 。 因 为 服务 器 的 运行 ， 一 般 都 要 
保证 7X24 小 时 的 连续 运转 。 所 以 ， 采 用 这 种 部 署 模式 也 比较 合适 。 如 图 1-22 所 
示 ， 是 二 层 交换 机 的 热 备份 部 署 拓扑 图 ， 共 包括 两 台 Cisco2960 交 换 机 和 两 台 服 
务 器 ， 结 构 比 较 清晰 。 


2960-A 2960-B 


二 二 
ss ~、 
6 * 

— oo 


Serverl Server2 
图 1-22 二 层 交 换 机 的 热 备份 部 署 模式 

设备 间 的 连接 情况 如 下 所 示 : 

Cisco2960A GigabitEthernet0/1 <----- > Serverl EthO 
Cisco2960A GigabitEthernet0/2 <----- > Server2 Eth0 
Cisco2960B GigabitEthernet0/1 <-----— > Serverl ‘EER 
Cisco2960B GigabitEthernet0/2 <----- > Server2 Ethl 
Cisco2960A GigabitEthernet0/24 <----- > Cisco2960B 

GigabitEthernet0/24 


DServerl Eth2 < 一 一 一 > Server2 Eth2 
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Server1 的 IP 地 址 为 192.168.2.11， 子 网 掩 码 为 255.255.255.0，Server2 的 人 P 地 址 
为 192.168.2.12， 子 网 掩 码 为 255.255.255.0。 两 台 服 务 器 上 的 Eth0 和 Eth1 两 块 网 卡 
是 绑 定 在 一 起 的 ， 例 如 Serverl 的 Eth0O 和 Eth1 的 两 块 网 卡 与 外 部 进行 数据 通信 时 ， 
两 个 网 卡 使 用 的 耳 地 址 都 是 192.168.2.11/24， 若 一 块 网 卡 故 障 的 话 ， 另 一 块 网 卡 
会 继续 保持 与 外 界 的 通信 ， 并 不 会 影响 服务 器 的 正常 运行 。 目 前 ， 有 很 多 软件 都 
能 实现 这 种 双 网 卡 绑 定 的 功能 ， 例 如 RoseHA、NIC Express 等 。 


Server1 和 Server2 是 主 备 模式 运行 ， 它 们 之 间 的 网 线 连接 相当 于 一 条 心跳 
线 。 两 台 服务 器 都 安装 有 双 机 软件 ， 双 机 软件 时 刻 监 控 主 备 Server 的 各 项 参数 ， 
并 通过 心跳 线 传输 控制 信息 。 


双 机 软件 监控 的 参数 可 以 是 服务 器 的 网 卡 、 数 据 库 以 及 各 种 应 用 的 运行 情 
况 等 ， 若 发 现 其 中 的 任意 一 项 参数 不 正常 ， 双 机 软件 都 会 通过 心跳 线 传输 控制 信 
息 ， 从 而 让 备用 服务 器 变 为 活动 服务 器 ， 以 接管 原来 主 服务 器 的 各 项 应 用 ， 而 让 
原来 的 主 服务 器 变 为 备 服务 器 。 在 这 种 情况 下 ， 外 界 的 用 户 根本 感觉 不 到 后 台 服 
务 器 的 切换 ， 也 就 不 影响 用 户 对 各 种 应 用 的 体验 。 


Cisco2960A 的 主要 配置 如 下 所 示 : 


hostname Cisco2960A 

! 

interface GigabitEthernet0/1 
description LinkServerlEth0 
switchport access VLAN 2 
switchport mode access 

! 

interface GigabitEthernet0/2 
description LinkServer2Eth0 


switchport access VLAN 2 
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Cisco2960B 上 的 主要 配置 如 下 所 示 : 
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switchport access VLAN 2 

switchport mode access 

! 
interface GigabitEthernet0/24 
description Link2960A 0/24 
switchport trunk encapsulation dotlq 
switchport trunk allowed VLAN 2 
switchport mode trunk 

! 
interface VLAN 2 

up addressy II2016.282 2552525525580 
! 


ip default-gateway 172.16.2.254 


两 台 交换 机 通过 Trunk 线 连接 ， 这 样 图 1-22 中 的 4 台 设 备 实际 上 都 处 于 同一 个 
VLAN， 即 VLAN 2 中 。 两 台 交换 机 上 VLAN 2 的 IP 地 址 是 作为 管理 地 址 使 用 的 ， 
这 样 用 户 在 两 台 服务 器 上 ， 也 可 以 通过 远程 登录 到 交换 机 上 ， 对 交换 机 进行 远程 
配置 和 管理 。 

这 种 配置 模式 可 以 保证 两 台 交换 机 中 的 任意 一 台 故 障 的话 ， 也 不 会 影响 服务 
器 上 业务 的 正常 运行 。 例 如 Cisco2960A 故 障 的 话 ，Serverl 可 以 通过 它 上 面 的 Ethl 
网 卡 连接 到 Cisco2960B， 再 连 到 网 络 中 。Server2 也 可 以 通过 它 上 面 的 Eth1 连 接 到 
Cisco2960B， 再 连 到 网 络 中 。 同 样 ， 若 是 Cisco2960B 故 障 的 话 ， 也 不 会 影响 两 台 
服务 器 的 正常 运转 。 这 种 模式 的 应 用 也 就 避免 了 交换 机 和 服务 器 的 单 点 故障 。 


2. 三 层 网 络 设备 的 热 备 份 部 署 模式 


上 面 的 例子 中 ， 使 用 的 网 络 设备 是 Cisco2960， 属 于 二 层 设 备 。 如 果 网 络 
设备 是 三 层 设备 ， 如 三 层 交 换 机 或 路 由 器 的 话 ， 要 实现 热 备 的 功能 ， 就 需要 


59 


60 


网 络 运 维 亲历 记 


应 用 到 具体 的 协议 。 若 是 Cisco 的 设备 ， 可 以 使 用 HSRP、VRRP 和 GLBP 协 议 。 
HSRP(Hot Standby Router Protocol， 热 备份 路 由 器 协议 ) 和 GLBP(Gateway Load 
Balancing Protocol， 网 关 负 载 均衡 协议 ) 是 思科 专 有 协议 ， 只 能 在 思科 设备 上 使 
用 。 而 VRRP(Virtual Router Redundancy Protocol， 虚 拟 路 由 宛 余 协议 ) 是 公有 协 
议 ， 既 可 以 在 思科 设备 上 使 用 ， 也 可 以 在 H3C 设 备 上 使 用 。 


下 面 就 以 三 层 交 换 机 Cisco3750 为 例 ， 介 绍 HSRP 协 议 在 网 络 设备 热 备份 功能 
上 的 应 用 。 如 图 1-23 所 示 ， 网 络 结构 图 和 “1” 中 的 网 络 结构 一 样 ， 只 是 网 络 设 
备 换 成 了 Cisco3750。 


3750-A 3750-B 


- 天 
-天 > 
~— 


Serverl Server2 
图 1-23 三 层 网 络 设备 的 热 备份 部 署 模式 

设备 间 的 连接 情况 如 下 所 示 : 

Cisco3750A GigabitEthernet1/0/1 <----- > Serverl Eth0 
Cisco3750A GigabitEthernet1/0/2 <----- > Server2 Eth0 
Cisco3750B GigabitEthernet1/0/1 <----- > Serverl Eth 
Cisco3750B GigabitEthernet1/0/2 <----- > Server2 Ethl 
Cisco3750A GigabitEthernet1/0/25 <----> Cisco3750B 


GigabitEthernet1/0/25 


Serverl eth = > Server2 Eth2 


第 1 章 ”网 络 三 层 协 议 


在 上 面 的 连接 中 ，Cisco3750A 和 Cisco3750B 之 间 通 过 G1/0/25 连 接 ， 使 月 


是 光纤 连接 ， 而 其 他 连接 都 使 用 的 是 双 绞 线 。 
在 Cisco3750A 上 的 主要 配置 如 下 所 示 : 


hostname Cisco3750A 

! 

interface GigabitEthernet1/0/1 
description LinkServerlEth0 
switchport access VLAN 2 


switchport mode access 


interface GigabitEthernet1/0/2 
description LinkServerlEthl 
switchport access VLAN 2 


switchport mode access 


interface GigabitEthernet1/0/25 
description Link3750B 1/0/25 
Switchport trunk encapsulation dotlq 
Switchport trunk allowed VLAN 2 


switchport mode trunk 


interface VLAN 2 


Ip address L192.168.2.252 2508255 202550 
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standby 2 jp 192.168.2.254 
standby 2 priority 120 


standby 2 preempt 


其 中 命令 “ip address 192.168.2.252 255.255.255.0” 是 给 指定 的 VLAN 配 置 IP 
地 址 。 


命令 “standby 2 priority 120” 中 的 “priority” 是 配置 HSRP 的 优先 级 ，2 为 组 
序号 ， 它 的 取 值 范围 为 0~255，120 为 优先 级 的 值 ， 取 值 范 围 为 0~255， 数 值 越 
大 优先 级 越 高 。 


优先 级 将 决定 一 台 路 由 器 在 HSRP 备 份 组 中 的 状态 ， 优 先 级 最 高 的 路 由 器 将 
成 为 活动 路 由 器 ， 其 他 优先 级 低 的 路 由 器 将 成 为 备用 路 由 器 。 当 活动 路 由 器 失效 
后 ， 备 用 路 由 器 将 替代 它 成 为 活动 路 由 器 。 当 活动 和 备用 路 由 器 都 失效 后 ， 其 他 
路 由 器 将 参与 活动 和 备用 路 由 器 的 选举 工作 。 优 先 级 都 相同 时 ， 接 口 卫 地 址 高 的 
将 成 为 活动 路 由 器 。 

“preempt” 是 配置 HSRP 为 抢占 模式 。 如 果 需 要 高 优先 级 的 路 由 器 能 主动 抢 
占 成 为 活动 路 由 器 ， 则 要 配置 此 命令 。 配 置 preempt 后 ， 能 够 保证 优先 级 高 的 路 
由 器 失效 恢复 后 总 能 成 为 活动 路 由 器 。 活 动 路 由 器 失效 后 ， 优 先 级 最 高 的 备用 路 
由 器 将 处 于 活动 状态 ， 如 果 没 有 使 用 preempt 技 术 ， 则 当 活 动 路 由 器 恢复 后 ， 它 
只 能 处 于 备用 状态 ， 先 前 的 备用 路 由 器 代替 其 角色 处 于 活动 状态 。 


命令 “standby 2 ip 192.168.2.254” 作 用 是 启动 HSRP， 如 果 虚 拟 卫 地 址 不 指 
定 ， 路 由 器 就 不 会 参与 备份 。 虚 拟 卫 应 该 是 接口 所 在 的 网 段 内 的 地 址 ， 不 能 配置 
为 接口 上 的 耳 地 址 。 


在 Cisco3750B 上 的 主要 配置 如 下 所 示 : 


hostname Cisco3750B 
! 


interface GigabitEthernet1/0/1 
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description LinkServerlEthl 
switchport access VLAN 2 


switchport mode access 


interface GigabitEthernet1/0/2 
description LinkServer2Ethl 
switchport access VLAN 2 


switchport mode access 


interface GigabitEthernet1/0/25 
description Link3750A 1/0/25 
switchport trunk encapsulation dotlqg 
switchport trunk allowed VLAN 2 


switchport mode trunk 


interface VLAN 2 

1p address 192-168-2-253 25D.255.255.0 
standby 2 ip 192.168.2.254 

standby 2 priority 120 


standby 2 preempt 


另外 ， 可 以 使 用 其 他 一 些 命令 ， 查 看 HSRP 的 运行 状态 ， 如 “debug standby 
events detail ”命令 是 显示 HSRP 事 件 ; 命令 “debug standby error” 是 显示 HSRP 错 
误 。 另 外 ， 还 有 命令 “show standby brief” 是 显示 路 由 器 上 一 些 HSRP 简 要 的 信 
息 ， 如 下 所 示 是 在 Cisco3750A 上 执行 此 命令 的 显示 结果 : 
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Cisco3750A#show standby brief 
P indicates configured to preempt. 


Interface Grp Prio P State Active Standby 
Virtual IP 
V12 二 下 20 BP Active local IT7T25162815252 


172.16.81.254 


这 种 部 署 模式 中 ， 服 务 器 上 的 配置 ， 及 网 线 连接 情况 和 “1” 中 的 一 样 ， 也 
是 双 机 热 备 部 署 模式 。 需 要 注意 的 是 在 两 台 服务 器 上 配置 也 地址 时 ， 默 认 网 关 
的 地 址 一 定 要 写成 192.168.2.254， 不 能 写成 192.168.2.252 或 192.168.2.253。 因 为 
Cisco3750 中 的 VLAN 2 和 外 部 进行 数据 通信 时 ， 使 用 的 就 是 192.168.2.254 这 个 IP 
地 址 ， 而 不 是 其 他 两 个 。 


这 种 模式 中 ， 两 台 交 换 机 同样 可 以 起 到 热 备 的 功能 ， 任 意 一 台 交 换 机 故障 并 
不 会 影响 到 另外 一 台 交 换 机 和 两 台 服务 器 的 正常 运行 。 也 就 解决 了 网 络 设备 的 单 
点 故障 。 这 种 部 署 模式 一 般 应 用 在 网 络 的 核心 层 ， 在 高 性 能 的 三 层 交 换 机 或 路 由 
器 上 进行 部 署 ， 担 负 整 个 网 络 核心 数据 的 路 由 、 交 换 功能 。 


3. 网 络 设备 热 备 份 功能 的 混合 部 署 模式 


目前 ， 在 大 部 分 的 网 络 中 ， 为 了 不 影响 用 户 对 各 种 业务 应 用 的 连续 不 间断 使 
用 ， 在 网 络 的 核心 层 和 分 布 层 网 络 设备 上 ， 都 使 用 了 设备 的 热 备份 功能 。 下 面 的 
例子 其 实 就 是 上 面 “1” 和 “2” 两 种 部 署 模 式 的 混合 使 用 ， 如 图 1-24 所 示 。 只 是 
在 分 布 层 使 用 的 交换 机 为 Cisco3750， 而 不 是 Cisco2960。 因 为 在 性 能 上 3750 还 是 
比 2960 优 越 很 多 。 只 不 过 没有 使 用 Cisco3750 上 的 三 层 路 由 功能 ， 而 只 使 用 了 它 
的 二 层 交 换 功 能 。 
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一: 

一 — 

> 村 
Serverl Server2 


图 1-24 网 络 设备 热 备份 功能 的 混合 部 署 模式 


图 1-24 部 署 模式 设备 间 的 连接 情况 如 下 所 示 : 


Cisco4506A GigabitEthernet1l/1 <----> Cisco4506B 
GigabitEthernet1/1 
Cisco4506A GigabitEthernet2/1 <----> Cisco3750A 


GigabitEthernet1/0/28 


Ciscod4506B GigabitEthernet2/1 <====> Clisco37TS0B 


GigabitEthernet1/0/28 


Cisco3750A GigabitEthernet1/0/1 <----- > Serverl Eth0 
Cisco3750A GigabitEthernet1/0/2 <----- > Server2 Eth0 
Cisco3750B GigabitEthernet1/0/1 <----- > Serverl Ethl 


Cisco3750B GigabitEthernet1/0/2 <----- > Server2 Ethl 
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Cisco3750A GigabitEthernet1/0/25 <----> Cisco3750B 
GigabitEthernet1/0/25 


Servertl Eth2. <===== > Server2 Eth2 


在 上 面 的 连接 中 ，Cisco4506A 和 Cisco4506B 之 间 的 连接 ， Cisco4506 和 
Cisco3750 之 间 的 连接 及 Cisco3750A 和 Cisco3750B 之 间 的 连接 都 是 通过 光纤 连接 
的 。 而 其 他 的 连接 使 用 的 都 是 双 绞 线 的 连接 。 


在 Cisco4506A 和 Cisco4506B 上 的 主要 配置 和 在 “2” 中 Cisco3750 上 的 配置 基 
本 一 致 ， 因 为 它们 都 是 属于 三 层 设 备 上 的 配置 。 


在 Cisco4506A 上 的 主要 配置 如 下 所 示 : 


hostname Cisco4506A 

! 

interface GigabitEthernet1/1 
description Link4506B 1/1 

Switchport trunk encapsulation dotlq 
switchport trunk allowed VLAN 2 
switchport mode trunk 

! 

interface GigabitEthernet2/1 
description Link3750A 

switchport trunk encapsulation dotlq 
switchport trunk allowed VLAN 2 


switchport mode trunk 
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在 Cisco4506B 上 的 主要 配置 如 下 所 示 : 
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standby 2 ip 192.168.2.254 
standby 2 priority 120 


standby 2 preempt 


在 Cisco3750A 和 Cisco3750B 上 的 主要 配置 和 在 上 面 “1” 中 的 Cisco2960 上 的 
配置 基本 一 致 ， 因 为 它们 都 属于 二 层 设备 上 的 配置 。 


在 Cisco3750A 上 的 主要 配置 如 下 所 示 : 


hostname Cisco3750A 


interface GigabitEthernet1/0/1 
description LinkServerlEth0 
switchport access VLAN 2 


switchport mode access 


interface GigabitEthernet1/0/2 
description LinkServerlEthl 
switchport access VLAN 2 


switchport mode access 


interface GigabitEthernet1/0/25 
description Link3750B 1/0/25 
switchport trunk encapsulation dotlq 


switchport trunk allowed VLAN 2 
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在 Cisco3750B 上 的 主要 配置 如 下 所 示 : 
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Switchport mode access 
! 
interface GigabitEthernet1/0/25 
description Link3750A 1/0/25 
switchport trunk encapsulation dotlq 
switchport trunk allowed VLAN 2 
switchport mode trunk 
! 
interface GigabitEthernet1/0/28 
description Link4506B 
switchport trunk encapsulation dotlq 
switchport trunk allowed VLAN 2 
switchport mode trunk 
! 
interface VLAN 2 
ip address L9016852-2 255.2555255a0 


ip default-gateway 192.168.2.254 


图 1-24 所 示 的 部 署 模式 ， 也 是 目前 一 些 大 、 中 型 企业 中 常用 的 一 种 部 署 模 
一 般 核 心 层 的 网 络 设备 不 会 太 多 ， 也 就 2 一 4 台 ， 但 分 布 层 中 的 设备 ， 如 图 
1-24 中 的 Cisco3750 就 会 部 署 很 多 台 。 可 以 根据 单位 部 门 的 不 同 或 不 同 的 楼 宇 部 
署 在 不 同 的 位 置 。 在 分 布 层 的 设备 上 一 般 还 会 连接 有 很 多 的 接 入 层 交 换 机 ， 这 些 
设备 一 般 都 不 会 使 用 热 备 份 功能 的 部 署 模式 。 因 为 它们 都 是 通过 机 房 中 的 配 线 架 
直接 就 连接 到 了 用 户 的 电脑 上 了 ， 若 是 有 一 台 接 入 层 的 交换 机 故障 了 ， 它 只 是 
影响 了 很 小 的 一 部 分 用 户 。 所 以 ， 网 络 中 对 接 入 层 交 换 机 的 可 靠 性 要 求 并 不 是 很 
高 ， 


也 就 没有 必要 使 用 热 备 份 的 部 署 模式 。 
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4. 总 结 


(DHRSP 主 要 用 在 源 主机 无 法 动态 学 习 到 网 关 IP 地 址 的 情况 下 ， 防 止 默认 路 
由 失败 。 它 类 似 于 服务 器 的 HA 群集 ， 两 台 或 更 多 的 路 由 器 以 同样 的 方式 配置 成 
Cluster， 创 建 出 单个 的 虚拟 路 由 器 ， 然 后 客户 端 将 网 关 指 向 该 虚拟 路 由 器 ， 最 后 
由 HSRP 决 定 哪个 路 由 器 扮演 真正 的 默认 网 关 。HRSP 组 里 的 每 个 成 员 路 由 器 仍然 
是 标准 的 路 由 器 ， 客 户 端 仍然 可 以 将 成 员 路 由 器 配置 成 其 默认 网 关 。HRSP 选 择 
优先 级 最 高 的 路 由 器 为 活动 路 由 器 。 如 果 优 先 级 相同 ， 则 JP 地 址 高 的 成 为 活动 路 
由 器 。 在 HRSP 组 中 ， 只 允许 同时 存在 一 个 活动 路 由 器 ， 其 他 路 由 器 都 处 于 备用 
状态 ， 备 用 路 由 器 不 转发 数据 包 。 如 果 备 用 路 由 器 持续 不 断 地 收 到 活动 路 由 器 发 
来 的 Hello 包 ， 则 其 会 一 直 处 于 备用 状态 。 一 旦 备用 路 由 器 在 规定 的 时 间 内 没有 
收 到 Hello 包 ， 则 认为 活动 路 由 器 失效 ， 优 先 级 最 高 的 备用 路 由 器 就 接替 活动 路 
由 器 的 角色 ， 开 始 转发 数据 包 。 


VRRP 是 不 同 设备 厂家 之 间 共 同 遵循 的 标准 。 它 负责 从 路 由 器 组 中 选择 一 个 
作为 Master， 然 后 客户 端 使 用 虚拟 路 由 器 地 址 作为 其 默认 网 关 。 一 个 两 成 员 的 
HSRP 组 必须 使 用 三 个 地 址 ， 每 个 路 由 器 一 个 实 IP 地 址 ，HSRP 组 一 个 虚拟 IP 地 
址 。 而 一 个 两 成 员 的 VRRP 组 只 需要 使 用 两 个 人 P 地 址 。Master 设 备 的 Interface IP 即 
为 VRRP 组 的 虚拟 IP 地 址 。 若 Master 设 备 故 障 后 ， 备 用 的 设备 将 接管 该 IP。 不 过 
VRRP 也 可 以 像 HSRP 一 样 使 用 两 个 实 卫 地址 和 一 个 虚 IP 地 址 。 


GLBP 不 仅 提供 元 余 网 关 ， 还 在 各 网 关 之 间 提供 负载 均衡 。 而 HRSP、VRRP 
都 是 选 定 一 个 活动 路 由 器 ， 备 用 路 由 器 则 处 于 闲置 状态 。 和 HRSP 不 同 的 是 ， 
GLBP 可 以 绑 定 多 个 MAC 地 址 到 虚拟 IP， 从 而 允许 客户 端 选择 不 同 的 路 由 器 作 
为 其 默认 网 关 ， 而 网 关 地 址 仍 使 用 相同 的 虚拟 卫 ， 从 而 实现 一 定 的 元 余 功能 。 
GLBP 选 举 活 动 网 关 时 ， 优 先 级 最 高 的 路 由 器 成 为 活动 路 由 器 ， 其 他 非 活动 的 则 
提供 元 余 功能 。 若 某 路 由 器 被 推举 为 活动 路 由 器 后 ， 它 就 分 配 虚拟 的 MAC 地 址 
给 其 他 GLBP 组 成 员 。 所 有 的 GLBP 组 中 的 路 由 器 都 转发 数据 包 ， 但 是 各 路 由 器 
只 负责 转发 与 自己 的 虚拟 MAC 地 址 相关 的 数据 包 。 


(2) 以 上 三 种 网 络 设备 热 备 的 部 署 模式 主要 是 根据 网 络 的 规模 和 具体 的 实际 
应 用 情况 进行 选择 部 署 。 模 式 “1” 和 “2” 从 网 络 的 拓扑 上 看 没什么 区 别 ， 但 在 
模式 1 中 所 有 数据 都 是 在 一 个 网 段 中 进行 传输 的 ， 也 就 是 以 广播 的 方式 发 送 和 传 
输 数据 。 而 在 模式 2 中 涉及 到 了 不 同 网 段 之 间 数 据 的 路 由 ， 它 能 把 一 个 大 的 广播 
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域 分 割 成 多 个 更 小 的 广播 域 ， 从 而 提高 链 路 带宽 的 利用 率 。 所 以 说 模式 1 和 模式 2 在 
运行 本 质 上 是 不 一 样 的 。 而 部 署 模 式 3 是 模式 1 和 2 的 综合 ， 适 用 于 更 大 型 的 网 络 。 


1.7 运 维 实例 : DHCP IP 地 址 池 扩 充 简 单方 案 


网 络 的 结构 图 如 图 1-25 所 示 ， 核 心 交换 机 为 Cisco4503， 办 公 楼 二 层 、 三 层 
汇聚 层 交 换 机 为 Cisco3750， 其 中 在 两 台 3750 的 下 面 还 有 接 入 层 交 换 机 ， 为 了 
图 示 简洁 没有 画 出 。 在 4503 和 两 台 3750 上 都 启用 了 思科 VTP 功 能 ， 其 中 4503 的 
VTP 运 行 模式 是 Server， 两 台 3750 的 VTP 运 行 模式 为 Client。 两 台 3750 和 4503 都 是 
Trunk 连 接 。 二 层 、 三 层 用 户 的 客户 端 IP 地 址 都 是 通过 DHCP 服 务 器 自动 分 配 的 ， 
二 层 所 有 的 用 户 都 在 VLAN 2， 三 层 的 用 户 在 VLAN 3， 如 图 1-26 所 示 。 


DHCP 
日 - 国 winrserver2003 
晶 - 国 作用 域 [192. 168.2.0] YLAN2_ 二 层 


所 轩 作用 域 [192. 168.3.0] YLAN3 三 层 


“第 人 二 
图 1-25 ”网 络 结构 图 图 1-26 ” 原 DHCP 服 务 器 配置 


由 于 最 近 二 层 、 三 层 的 部 门 新 聘用 了 很 多 人 员 ， 而 DHCP 中 二 层 VLAN 2 能 
分 配 的 最 大 IP 地 址 数 为 252 个 ， 即 192.168.2.2~192.168.2.253， 而 二 层 目 前 所 有 的 
用 户 数 已 超过 252 个 。 同 样 对 于 三 层 VLAN 3 也 存在 这 样 的 问题 。 在 这 种 情况 下 ， 
我 们 就 想到 了 新 增 VLAN 12 和 VLAN 13 两 个 网 段 ， 作 为 2、3 网 段 的 扩充 ，2 和 12 
网 段 等 价 ，3 和 13 网 段 等 价 。 
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因为 4503 的 VTP 运 行 模式 是 Server， 所 以 只 需 在 4503 上 创建 VLAN 12 和 
VLAN 13， 两 台 3750 上 会 自动 创建 VLAN 12 和 VLAN 13 的 。 同 时 在 4503 上 用 
(config)#interface VLAN 命 令 创 建 SVI 接 口 ， 并 配置 IP 地 址 ， 即 VLAN 12 和 VLAN 
13 的 网 关 地 址 ， 如 图 1-27 所 示 。 最 后 ， 在 DHCP 服 务 器 上 创建 VLAN 12 和 VLAN 
13 网 段 ， 如 图 1-28 所 示 。 这 样 就 顺利 实现 了 DHCP 服 务 器 全 地 址 池 的 扩容 ， 从 能 
容纳 252 个 使 用 下 地 址 的 用 户 数 ， 扩 充 到 252X2 为 504 个 。 


因 vinserverz00s 
后生 作用 域 [192. 168.2.0] YLAIZ 二 层 
地 址 池 


作用 域 选项 
已 国 作用 域 [192. 168.3.0] VNB 三 层 
园地 址 池 


地 址 租约 
四 


各 作 用 域 寺 项 要 
PS Cisco4503(config)#interface vlan12 


上 本 Cisco4503 (config-if)#ip address 192. 168. 12.254 255. 255. 255.0 
Cisco4503 (config-if)#no shutdown 


日 全 作用 域 [192. 168. 13.0] VLAN13_ 三 屋 
全 地 址 池 Cisco4503 (config-if)#interface vlanl3 


5 Ciscod503 (config-if)#ip address 192.168, 13.254 255. 955. 255.0 
与 贡生 Cisco4503 (config-if)#no shutdown 


图 1-27 ”Cisco4503 的 配置 图 1-28 目前 DHCP 服 务 器 配置 


这 样 办 公 楼 二 层 、 三 层 新 增加 的 用 户 ， 就 可 以 分 别 接 入 到 VLAN 12 和 VLAN 
13 中 ， 这 样 就 解决 了 2、3 网 段 卫 地址 不 够 用 的 问题 。 


1.8 ” 运 维 实例 : 明明 白白 NAT 


目前 ，ICANN 已 把 IPv4 地 址 分 配 完 毕 。 按 理 说 ， 一 些 组 织 多 少 应 该 有 些 紧 
张 ， 因 为 没有 了 卫 地 址 ， 怎 么 保证 一 些 网 络 设备 互联 到 Intemet? 这 是 因为 目前 许 
多 单位 普遍 使 用 了 NAT(Network Address Translation， 网 络 地 址 转换 ) 技 术 。 下 面 就 通 
过 一 则 现实 中 运行 的 实例 和 一 些 截 图 让 大 家 完全 明白 NAT 运 行 的 机 制 和 原理 。 

1. 网 络 结构 图 说 明 


网 络 拓扑 图 如 图 1-29 所 示 ， 分 公司 的 PC(10.10.10.2/24) 通 过 Internet 访 问 总 部 
的 Server(192.168.10.2/24)。 其 中 在 分 公司 的 Cisco3750 上 应 用 了 PAT 规 则 ， 也 就 是 
“端口 NAT”。 在 公司 总 部 的 防火 墙 B 上 应 用 了 Static NAT， 并 且 防 火 墙 B 上 的 互 
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联网 端口 的 IP 地 址 配置 为 114.23.72.19/24。 分 公司 Cisco3750 上 的 互联 网 端口 的 IP 
地 址 配置 为 114.23.72.219/24。 在 分 公司 的 PC 电脑 上 和 总 部 的 Server 上 都 运行 了 


“360 流 量 监控 ”软件 ， 通 过 软件 中 的 “网 络 连接 ”面板 ， 能 够 清楚 的 看 出 NAT 
运行 的 机 理 。 


Internet 互联 网 


114.23.72.19/24 


< 应 用 前 态 NAT 规 则 ， 


Cisco37530 | .~ 
Cisco4503 


分 公司 PC 总 部 Server 
10.10.10.2/24 192.168.10.2/24 


图 1-29 ”网络 结构 图 
2. 交换 机 和 防火 墙 上 NAT 的 配置 


(]) 总 部 防火 墙 B 上 应 用 的 是 Static NAT 规 则 ， 通 过 防火 墙 的 Web 控 制 页 面 就 可 
操作 完成 ， 即 在 114.23.72.19/24 和 192.168.10.2/24 之 间 做 一 静态 转换 ， 并 且 这 两 个 
了 P 地 址 之 间 的 服务 端口 也 都 是 一 一 对 应 。 


(2)Cisco3750 上 的 配置 文件 如 下 所 示 : 


Lp nat PooL corporation T1423072.219 T1423.724219 
netmask 255.255.259.0 


\\ 定 义 内 部 全 局 地 址 池 


ip nat inside source list 10 pool corporation overload 
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\\ 建 立 映射 关系 
! 
interface GigabitEthernet1/0/1 \\ 定 义 外 网 接口 
no Switchport 
ip address 114223.72.219.2555255-25520 


ip nat outside 

! 

interface GigabitEthernet1/0/10 \\ 定 义 内 网 接口 
ip nat inside 


access-list 10 permit 10.10.10.0 0.0.0.255 \\ 定 义 内 
部 本 地 地 址 范围 


3. 实时 监控 查看 NAT 运 行 过程 


“360 流 量 监控 ”软件 可 以 详细 地 显示 本 机 服务 和 远程 主机 服务 的 连接 情 
况 。 因 为 在 大 部 分 的 电脑 中 ，TCP 139 端 口 都 是 默认 打开 的 ， 这 样 只 需 在 分 公司 
PC 的 “命令 行 ”中 执行 “telnet 114.23.72.19 139” 命 令 ， 就 可 在 分 公司 PC 与 总 
部 Server 之 间 建 立 一 个 TCP 连 接 ， 这 是 因为 Telnet 应 用 是 通过 TCP 建 立 连接 的 。 建 
立 连接 后 ， 就 可 通过 “360 流 量 监控 ”中 的 “网 络 连接 ”面板 查看 它们 的 连接 情 
况 。 如 图 1-30 所 示 ， 是 在 PC 上 “360 流 量 监控 ”的 截图 。 从 图 上 可 以 看 出 ，PC 上 
启动 了 一 个 “Telnet.exe” 的 进程 ， 进 程 使 用 的 是 TCP 协 议 ， 在 本 地 的 7420 端 口 和 
总 部 Server 服 务 器 的 139 端 口 建立 了 连接 。 


湖 区 腺 所 机 机 各 ”有 Pp 且 铝 。 8 有 娃 所 “ 
tahet ee EE Wm M2 7] 44272 增 涛 9 了 


图 1-30 分 公司 PC 上 360 实 时 截图 
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图 1-31 所 示 是 在 Server 上 的 “360 流 量 监控 ”的 截图 。 从 图 上 可 以 看 出 ， 在 总 
部 Server 上 启动 了 一 个 “System” 的 系统 进程 ， 并 且 在 本 地 的 139 端 口 和 目标 IP 的 
52617 端 口 之 间 建 了 TCP 连 接 。 


六 和 痊 戏 岂 机 各 ”县 p 九宫 盱 p 山 | 
口 Sen(8 掀 和) 验 Tm 192.168.10.2 志 14.23.72.19 E21 各 所 


1-31 总 部 Server 上 360 实 时 截图 


通过 这 两 幅 截 图 就 能 明白 现实 中 NAT 运 行 的 原理 。 图 中 并 没有 显示 出 在 
10.10.10.2 和 192.168.10.2 之 间 直 接 建 立 了 连接 ， 就 是 因为 在 Cisco3750 和 防火 墙 B 
上 应 用 了 NAT 规 则 。 


4. 总 结 


(DNAI 规 则 有 3 种 类 型 : 静态 NAT(Static NAT)、 动 态 NAT(Dynamic NAT) 和 
端口 NAT(PAT)， 也 称 动态 复 用 NAT。 其 实 动态 NAT 就 是 静态 NAT 的 一 种 特例 。 
本 实例 中 就 应 用 了 3 种 NAT 规 则 中 的 两 种 ， 静 态 NAT 和 PAT。 


静态 NAT: 将 内 部 网 络 的 私有 了 地 址 转换 为 公有 了 IP 地 址 ， 卫 地址 对 是 一 对 一 
的 ， 也 是 一 直 不 变 的 。 实 例 中 总 部 的 了 地 址 114.23.72.19 和 192.168.10.2 之 间 就 是 
这 种 一 对 一 的 转换 。 也 就 是 某 个 私有 JP 地 址 只 转换 为 某 个 公有 于 地 址 。 借 助 于 静 
态 NAT， 可 以 实现 外 部 网 络 对 内 部 网 络 中 某 些 特定 服务 器 的 访问 。 


动态 NAT: 将 内 部 网 络 的 私有 IP 地 址 转换 为 公用 IP 地 址 时 ，IP 地 址 是 不 确 
定 ， 随 机 的 。 所 有 被 授权 访问 Intemet 的 私有 下 地 址 可 随机 转换 为 任何 指定 合法 的 
也 地 址 。 也 就 是 说 ， 只 要 指定 哪些 内 部 地 址 可 以 进行 转换 以 及 用 哪些 合法 地 址 作 
为 外 部 地 址 时 ， 就 可 以 进行 动态 NAT 转 换 。 动 态 NAT 可 以 使 用 多 个 合法 外 部 地 址 
集 。 当 ISP 提 供 的 合法 IP 地 址 略 少 于 网 络 内 部 的 计算 机 数量 时 ， 可 以 采用 动态 转 
换 的 方式 。 


PAT: 改变 外 出 数据 包 的 源 端口 并 进行 端口 转换 ， 采 用 端口 多 路 复 用 方式 。 
内 部 网 络 的 所 有 主机 均 可 共享 一 个 合法 外 部 人 P 地 址 实现 对 Intermet 的 访问 ， 可 以 最 
大 限度 地 节约 耳 地 址 资源 。 同 时 ， 也 可 以 隐藏 网 络 内 部 的 所 有 主机 ， 有 效 避 免 来 
自 Intemet 的 攻击 。 因 此 ， 目 前 网 络 中 应 用 最 多 的 就 是 PAT 规 则 。 


(2)NAT 也 能 有 效 地 避免 来 自 网 络 外 部 的 攻击 ， 隐 藏 并 保护 网 络 内 部 的 计算 
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机 。 但 NAT 最 主要 的 作用 ， 是 在 一 定 程度 上 减缓 了 IPv4 地 址 耗 尽 的 进度 ， 但 它 也 
只 是 减缓 ， 并 不 能 阻止 。 目 前 ， 再 有 组 织 申请 人 P 地 址 ， 就 只 能 是 IPv6 地 址 了 。 因 
为 IPv6 地 址 数量 庞大 ， 按 保守 方法 估算 ，IPv6 实 际 可 分 配 的 地 址 ， 在 整个 地 球 每 
平方 米面 积 上 可 分 配 1000 多 个 地 址 ， 号 称 能 让 “每 颗 沙 子 都 拥有 一 个 站 地 址 ”。 
既然 IPv6 有 这 人 么 多 的 地 址 ， 能 保证 每 一 个 Intermet 上 的 终端 使 用 的 都 是 全 球 唯 一 卫 
地 址 ， 所 以 当 IPv6 地 址 在 全 球 普 及 的 时 候 ， 也 是 NAT 技 术 消 亡 的 时 候 。 


gg 


第 2 章 | 网络 二 层 协 议 


80 | 网 络 运 维 亲历 记 


在 计算 机 网 络 二 层 的 各 类 技术 和 协议 中 ， 最 常用 到 的 就 是 VLAN 和 Trunk， 
MAC 地 址 也 是 经 常用 到 的 。MAC(Media Access Control)， 又 称 媒体 访问 控制 ， 用 
来 定义 网 络 设备 的 位 置 。 在 OSI 模型 中 ， 第 二 层 数据 链 路 层 负责 MAC 地 址 ， 其 实 
工作 在 数据 链 路 层 的 交换 机 ， 就 是 维护 着 计算 机 的 MAC 地 址 和 自身 端口 的 数据 
库 ， 交 换 机 根据 收 到 的 数据 帧 中 的 目的 MAC 地 址 字段 来 转发 数据 帧 。 因 此 一 个 
主机 会 有 一 个 MAC 地 址 ，MAC 地 址 是 网 卡 决定 的 ， 它 实际 上 就 是 适配器 地 址 ， 
是 由 网 卡 生产 厂家 烧 入 网 卡 的 EPROM 闪存 中 ， 它 存储 的 是 传输 数据 时 真正 赖 以 
标识 发 出 数据 的 电脑 和 接收 数据 的 主机 的 地 址 ， 而 且 是 不 可 更 改 的 。 形 象 地 说 ， 
MAC 地 址 就 如 同 我 们 身份 证 上 的 身份 证 号 码 ， 具 有 全 球 唯一 性 。 


VLAN(Virtual Local Area Network)， 又 称 虚 拟 局 域 网 ， 是 指 在 交换 局 域 网 的 
基础 上 ， 采 用 网 络 管理 软件 构建 的 可 跨越 不 同 网 段 、 不 同 网 络 的 端 到 端的 逻辑 
网 络 。 一 个 VLAN 组 成 一 个 逻辑 子 网 ， 即 一 个 逻辑 广播 域 ， 它 可 以 覆盖 多 个 网 络 
设备 ， 允 许 处 于 不 同 地 理 位置 的 网 络 用 户 加 入 到 一 个 逻辑 子 网 中 。Trunk 技 术 用 
在 交换 机 之 间 互 连 ， 使 不 同 VLAN 通 过 共享 链 路 与 其 他 交换 机 中 的 相同 VLAN 通 
信 。 交 换 机 之 间 互 连 的 端口 就 称 为 Trunk 端 口 。 


2.1 网 络 二 层 协议 概述 


2.1.1 MAC 地 址 


MAC 地 址 ， 采 用 十 六 进 制 数 表示 ， 共 6 个 字 节 48 位 。 其 中 ， 前 3 个 字 节 是 由 
IEEE 的 注册 管理 机 构 负责 分 配给 不 同 厂家 的 代码 ， 也 就 是 高 位 24 位 ， 称 为 组 织 
上 唯一 的 标识 符 。 后 三 个 字 节 ， 也 就 是 低位 24 位 ， 由 各 厂家 自行 指派 给 生产 的 适 
配器 接口 ， 称 为 扩展 标识 符 ， 一 个 地 址 块 可 以 生成 224 个 不 同 的 地 址 。 


在 网 络 中 ， 最 常用 的 两 个 地 址 就 是 IP 地 址 和 MAC 地 址 ，IP 地 址 专注 于 网 络 
层 ， 将 数据 包 从 一 个 网 络 转发 到 另外 一 个 网 络 ， 而 MAC 地 址 专注 于 数据 链 路 
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层 ， 将 一 个 数据 帧 从 一 个 节点 传送 到 相同 链 路 的 另 一 个 节点 。 网 络 层 设备 ， 如 路 
由 器 根据 了 地 址 来 进行 操作 。 数 据 链 路 层 设 备 ， 如 交换 机 根据 MAC 地 址 来 进行 
操作 。 在 一 个 稳定 的 网 络 中 ，IP 地 址 和 MAC 地 址 是 成 对 出 现 的 。 如 果 一 台 计 算 
机 村 和 网 络 中 另 一 外 计算 机 通信 ， 那 么 要 配置 这 两 台 计 算 机 的 耳 地址 ， 配 置 的 卫 
地 址 就 和 MAC 地 址 形成 了 一 种 对 应 关系 。 在 数据 通信 时 ，IP 地 址 负责 表示 计算 
机 的 网 络 层 地 址 。 耳 和 MAC 地 址 这 种 映射 关系 由 ARP 地 址 解析 协议 完成 的 。 


JP 地 址 和 MAC 地 址 相同 点 是 它们 都 是 唯一 的 ， 不 同 点 主要 有 三 点 : 一 是 对 
于 网 络 上 的 某 一 设备 ， 如 一 台 计 算 机 或 一 台 路 由 器 ， 其 人 P 地 址 是 基于 网 络 拓扑 设 
计 出 的 。 同 一 台 设 备 或 计算 机 上 ， 改 动 IP 地 址 是 很 容易 的 ， 而 MAC 则 是 生产 厂 
商 烧 录 好 的 ， 一 般 不 能 改动 。 二 是 IP 地 址 和 MAC 地 址 的 长 度 也 是 不 同 的 ，IP 地 址 
为 32 位 ，MAC 地 址 为 48 位 。 三 是 了 P 地 址 应 用 于 OSI 第 三 层 ， 即 网 络 层 ，IP 地 址 的 
分 配 是 基于 网 络 拓扑 ， 而 MAC 地 址 应 用 在 OSI 第 二 层 ， 即 数据 链 路 层 ，MAC 地 
址 的 分 配 是 基于 制造 商 。 


2.1.2 VLAN 技 术 


VLAN 工 作 在 OSI 参考 模型 的 第 二 层 和 第 三 层 ，VLAN 之 间 的 通信 是 通过 第 
三 层 的 路 由 器 来 完成 的 。 因 此 VLAN 间 的 通信 也 需要 路 由 器 提供 中 继 服务 ， 这 
被 称 作 “VLAN 间 路 由 ”。VLAN 是 广播 域 ( 指 的 是 目标 MAC 地 址 全 部 为 1 的 广播 
帧 ， 所 能 传递 到 的 范围 ， 亦 即 能 够 直接 通信 的 范围 )， 广 播 域 之 间 来 往 的 数据 包 
都 是 由 路 由 器 中 继 的 。 本 来 二 层 交 换 机 只 能 构建 单一 的 广播 域 ， 不 过 使 用 VLAN 
功能 后 ， 它 能 够 将 网 络 分 割 成 多 个 广播 域 。 


与 传统 的 局 域 网 技术 相 比 较 ，VLAN 技 术 更 加 灵活 。 使 用 VLAN 技 术 网 络 设 
备 的 移动 、 添 加 和 修改 的 管理 开销 减少 ， 也 可 以 控制 广播 活动 ， 还 可 以 提高 网 络 
的 安全 性 。 在 计算 机 网 络 中 ， 一 个 二 层 网 络 可 以 被 划分 为 多 个 不 同 的 广播 域 ， 一 个 
广播 域 对 应 了 一 个 特定 的 用 户 组 ， 默 认 情况 下 这 些 不 同 的 广播 域 是 相互 隔离 的 。 


2.1.3 Trunk 技术 


Trunk 能 够 实现 不 同 交换 机 中 同一 VLAN 间 数据 的 通信 ， 但 是 Trunk 技 术 不 能 
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实现 不 同 VLAN 间 通信 ， 需 要 通过 使 用 三 层 设 备 ， 用 路 由 或 三 层 交 换 机 来 实现 。 

两 台 交换 机 上 分 别 创建 了 多 个 VLAN， 在 两 台 交换 机 上 相同 的 VLAN， 例 
如 VLAN 8 要 通信 ， 需 要 将 交换 机 A 上 属于 VLAN 8 的 一 个 端口 与 交换 机 B 上 属 
于 VLAN 8 的 一 个 端口 互 连 ， 如 果 这 两 台 交 换 机 其 他 相同 VLAN 间 需要 通信 ， 那 
么 交换 机 之 间 需 要 更 多 的 互 连 线 ， 端 口 利 用 率 就 太 低 了 。 若 交换 机 使 用 trunk 技 
术 ， 事 情 就 简单 多 了 ， 只 需要 两 台 交 换 机 之 间 有 一 条 互 连 线 ， 将 互 连 线 的 两 个 端 
口 设置 为 trunk 模 式 ， 这 样 就 可 以 使 交换 机 上 不 同 VLAN 共 享 这 条 线路 。 


交换 机 的 端口 一 般 有 两 种 模式 : access 和 trunk。 连 接 终端 ， 如 PC 使 用 access 
模式 ， 设 备 间 级 联 若 要 传输 多 个 VLAN 中 的 数据 ， 则 用 trunk 模 式 。 把 access 端 口 
加 入 到 某 个 VLAN， 那 么 这 个 端口 就 只 将 这 个 VLAN 的 数据 转发 给 PC，PC 发 送 的 
数据 通过 这 个 端口 后 会 打上 这 个 VLAN 的 ID， 转 发 到 相同 VLAN。 


2.1.4 VTP 协 议 


VTP(VLAN Trunking Protocol，VLAN 中 继 协 议 )， 也 被 称 为 虚拟 局 域 网 干道 
协议 。 不 过 有 一 点 要 记 住 它 是 思科 私有 协议 ， 在 华为 、 锐 捷 等 交换 机 上 是 不 支持 
此 协议 的 。 有 时 我 们 需要 在 整个 园区 网 或 者 企业 网 中 的 一 组 交换 机 中 保持 VLAN 
数据 库 的 同步 ， 以 保证 所 有 交换 机 都 能 从 数据 帧 中 读 取 相关 的 VLAN 信 息 进 行 正 
确 的 数据 转发 ， 然 而 对 于 大 型 网 络 来 说 ， 可 能 有 成 百 上 千 台 交换 机 ， 而 一 台 交 换 
机 上 都 可 能 存在 几 十 乃至 数 百 个 YLAN， 如 果 仅 赁 网络 工程 师 手工 配置 的 话 是 一 
个 非常 大 的 工作 量 ， 并 且 也 不 利于 日 后 维护 一 一 每 一 次 添加 修改 或 删除 VLAN 都 
需要 在 所 有 的 交换 机 上 部 署 。 这 种 情况 下 ， 使 用 VTP 是 最 好 的 选择 ， 把 一 台 交 换 
机 配置 成 VTP Server， 其 余 的 交换 机 配置 成 VIP Client， 这 样 模式 是 Client 的 交 
换 机 就 可 以 自动 学 习 到 Server 上 的 VLAN 信 息 ， 大 大 减轻 了 网 络 运 维和 人 员 的 工 
作 量 。 


VTP 是 一 个 位 于 OSI 参 考 模型 第 二 层 的 通信 协议 ， 主 要 用 于 管理 在 同一 个 域 
的 网 络 范围 内 VLAN 的 建立 、 删 除 和 重 命 名 。 在 一 台 VTP Server 上 配置 一 个 新 的 
VLAN 时 ， 该 VLAN 的 配置 信息 将 自动 传播 到 本 域内 的 其 他 所 有 交换 机 。 这 些 交 
换 机 会 自动 地 接收 这 些 配置 信息 ， 使 其 VLAN 的 配置 与 VTP Server 保 持 一 致 ， 从 
而 减少 在 多 台 设 备 上 配置 同一 个 VLAN 信 息 的 工作 量 ， 而 且 保持 了 VLAN 配 置 的 


第 2 章 ”网 络 二 层 协 议 1 83 


统一 性 。VTP 在 系统 级 管理 增加 、 删 除 和 调整 VLAN 时 ， 会 自动 地 将 信息 向 网 络 
中 其 他 的 交换 机 广播 。 另 外 ，VTP 减 小 了 那些 可 能 导致 安全 问题 的 配置 ， 便 于 
管理 ， 只 要 在 VTP Server 上 做 相应 设置 ，VTP Client 会 自动 学 习 VTP Server 上 的 
VLAN 信 息 。 


使 用 VTP 功 能 ， 必 须 配 置 VTP 域 ， 一 是 域内 的 每 台 交 换 机 都 必须 使 用 相同 的 
域名 ， 不 论 是 通过 配置 实现 ， 还 是 由 交换 自动 学 到 的 ; 二 是 交换 机 必须 是 相 邻 
的 ， 即 相 邻 的 交换 机 需要 具有 相同 的 域名 ;三 是 在 所 有 交换 机 之 间 ， 必 须 配 置 中 
继 链 路 。 如 果 上 述 3 个 条 件 任 何 一 项 不 满足 ， 则 VTP 域 不 能 联通 ， 信 息 也 就 无 法 
跨越 分 离 部 分 进行 传送 。 


VTP 有 3 种 工作 模式 : VTP Server、VTP Client 和 VTP Transparent。 一 般 ， 
一 个 VTP 域 内 的 整个 网 络 只 设 一 个 VTP Server。VTP Server 维 护 该 VTP 域 中 所 有 
VLAN 信息 列表 ，VTP Server 可 以 建立 、 删 除 或 修改 VLAN， 发 送 并 转发 相关 
的 通告 信息 ， 同 步 VLAN 配 置 ， 会 把 配置 保存 在 NVRAM 中 。VTP Client 虽 然 也 
维护 所 有 VLAN 信 息 列表 ， 但 其 VLAN 的 配置 信息 是 从 VTP Server 学 到 的 ，VTP 
Client 不 能 建立 、 删 除 或 修改 YLAN， 但 可 以 转发 通告 ， 同 步 VLAN 配 置 ， 不 保存 
配置 到 NVRAM 中 。VTP Transparent 相 当 于 是 一 台独 立 的 交换 机 ， 它 不 参与 VTP 
工作 ， 不 从 VTP Server 上 学 习 VLAN 的 配置 信息 ， 而 只 拥有 本 设备 上 自己 维护 的 
VLAN 信 息 。VTP3 种 模式 的 区 别 和 联系 如 表 2-1 所 示 : 


表 2-1 VTP3 种 模式 的 区 别 和 联系 


es 模式 名 称 Server 模 式 | client 模式 “| Transparent 模 式 
I 


创建 VLAN 
修改 VLAN 
删除 VLAN 
发 送 设 定 给 其 他 设备 做 同步 
转发 设 定 给 其 他 设备 

同步 其 他 设备 给 的 VLAN 设 定 
VLAN 信 息 存 储 于 NVRAM 


x|I<|<|IxXx|Ix|x|x 
<|IX|<|IX| 研 || 和 
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2.2” 运 维 实例 : 用 最 简单 网 络 学 习 二 、 三 层 协议 


计算 机 网 络 知识 的 学 习 ， 离 不 开 多 次 试验 的 实践 学 习 。 但 昂贵 的 网 络 设备 ， 
对 许多 想 搭建 真实 网 络 环境 的 人 又 望而却步 。 不 过 ， 现 在 我 们 借助 简单 的 设备 拱 
建 所 需 的 网 络 环境 也 完全 是 有 可 能 的 。 下 面 的 一 个 实例 所 需 的 设备 就 非常 少 ， 只 
需 两 台电 脑 和 一 根 交叉 网 线 即 可 。 若 你 觉得 具备 这 些 设备 还 是 有 些 困难 ， 那 只 用 
一 台电 脑 也 完全 可 以 ， 只 需 在 网 上 下 载 一 个 VMware 虚拟 机 软件 ， 安 装 后 进行 相 
应 的 设置 ， 就 可 以 进行 下 面 的 实例 学 习 。 

不 过 下 面 提 到 的 命令 和 参数 ， 都 是 在 有 两 台电 脑 的 实验 环境 中 完成 的 。 操 作 
系统 使 用 的 是 Win7， 两 台电 脑 都 没有 配置 默认 网 关 。 还 需要 注意 的 就 是 连接 两 
台电 脑 用 的 是 交叉 网 线 ， 网 线 一 端 是 TS68A 标 准 的 线 序 ， 另 一 端 是 T568B 标 准 的 
线 序 ， 不 能 使 用 直通 线 。 下 面 就 一 步 步 介绍 实验 过 程 中 碰 到 的 问题 和 解决 问题 的 
方法 ， 期 间 也 就 很 自然 地 学 习 了 TCP/IP 协 议 族 中 的 二 、 三 层 协议 。 


1. 搭建 环境 


如 图 2-1 所 示 ， 这 种 实验 环境 很 简单 ， 想 必 大 家 都 试验 过 。 它 也 很 容易 理 
解 ， 处 在 同一 网 络 中 的 两 台 PC， 不 用 配置 网 关 ， 也 能 够 互相 通信 。 


和 两 台 PC 在 同一 网 络 人 


OA 10.0.0.0/8 M0 2 


图 2-1 位 于 同一 网 络 中 的 两 台 主 机 
2. 深入 操作 
如 图 2-2 所 示 ， 两 台 PC 在 不 同 的 网 络 中 ， 但 还 要 让 PC1 和 PC2 之 间 能 互相 ping 
通 。 这 种 网 络 实验 环境 ， 可 能 很 多 人 没有 深入 研究 过 ， 下 面 就 通过 一 些 实验 截图 
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一 步 步 分析 。 


本 于 不 同 网 络 。 忆 二 


图 2-2 位 于 不 同 网 络 中 的 两 台 主 机 


(1) 如 图 2-3 所 示 ， 在 PC1 上 ping 主 机 PC2 是 不 通 的 。 若 能 保证 连接 两 台 PC 的 网 
线 没有 故障 ，ping 不 通 的 话 ， 问 题 肯定 首先 出 在 PC1 的 路 由 上 。 


图 2-3 ”PC1 不 能 ping 通 PC2 


(2) 如 图 2-4 所 示 ， 在 PC1 的 “命令 行 ”中 ， 执 行 “route print” 命 令 ， 就 能 
看 到 PC1 主 机 上 的 路 由 表 ， 在 其 中 看 不 到 到 达 目 的 网 络 172.16.0.0/16 的 路 由 。 所 
以 ， 在 PC1 上 执行 ping 172.16.1.1 命 令 后 ，PC1 首 先 在 它 的 路 由 表 中 查找 有 没有 到 
达 网 络 172.16.0.0/16 的 路 由 表 项 ， 若 没有 就 会 返回 如 图 2-3 所 示 的 结果 。 


图 2-4 主机 PC1 中 的 路 由 表 
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(3) 既 然 路 由 表 中 没有 到 网 络 172.16.0.0/16 的 路 由 ， 那 PC1 中 的 二 层 ARP 表 中 
有 没有 与 172.16.1.1 对 应 的 MAC 地 址 表 项 呢 ? 因为 只 有 了 地 址 和 MAC 地 址 之 间 进 
行 了 一 一 对 应 的 绑 定 ， 主 机 在 封装 完 三 层 具有 源 和 目的 卫 地 址 的 数据 包 后 ， 然 后 
在 进行 二 层 封装 数据 帧 时 ， 必 须 找到 与 耳目 的 地 址 对 应 的 MAC 地 址 ， 才 能 完成 
二 层 的 封装 。 不 过 如 图 2-5 所 示 ，PC1 中 的 ARP 表 中 ， 并 没有 IP 地 址 172.16.1.1 和 
PC2 的 MAC 地 址 的 对 照 表 。 


图 2-5 主机 PC1 中 的 ARP 表 


(4) 既 然 PC1 的 路 由 表 中 没有 到 网 络 172.16.0.0/16 的 路 由 ， 那 就 在 PC1 中 添加 
一 条 静态 路 由 ， 如 图 2-6 所 示 。 注 意 添加 静态 路 由 的 命令 格式 ， 必 须 和 图 2-6 所 示 
的 一 致 。 只 是 在 命令 的 最 后 还 有 一 个 “IF” 参 数 ， 可 以 省 略 不 写 ， 这 并 不 影响 命 
令 的 正确 执行 。 


图 2-6 在 主机 PC1 中 添加 静态 路 由 


(5) 执 行 完 添加 静态 路 由 的 命令 后 ， 在 PC1 中 再 次 执行 命令 “route print” 后 ， 
发 现 PC1 的 路 由 表 中 ， 已 经 包含 了 到 网 络 172.16.0.0/16 的 路 由 ， 如 图 2-7 所 示 。 


(6) 既 然 PC1 中 的 路 由 表 中 已 经 包括 了 到 达 网 络 172.16.0.0/16 的 路 由 ， 那 是 不 
是 在 PC1 上 就 能 ping 通 172.16.1.1 了 ? 结果 如 图 2-8 所 示 ， 这 时 PC1 还 是 不 能 ping 通 
1 gz 
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图 2-7 PC1 路 由 表 中 包含 了 到 PC2 网 络 的 路 由 


图 2-8 ”在 主机 PC1 上 还 是 ping 不 通 PC2 


这 是 因为 ， 虽 然 PC1 路 由 表 中 包含 有 到 PC2 的 路 由 ， 这 样 在 PC1 上 发 送 具有 
目的 IP 地 址 是 172.16.1.1 的 ping 包 时 ， 数 据 包 能 够 到 达 PC2。 但 是 当 PC2 收 到 ping 
包 后 ，PC2 依 据 ping 的 性 质 ， 还 要 把 ping 包 再 发 送 回 PC1， 在 PC1 收 到 PC2 返 回 的 
ping 包 后 ， 一 个 完整 的 ping 过 程 才 结束 。 


但 是 当 PC2 发 送 ping 包 前 ， 它 在 自己 的 路 由 表 中 要 查找 ， 有 没有 到 达 目 的 网 
络 地 址 是 10.0.0.0/8 的 路 由 ， 但 是 它 没有 找到 这 项 路 由 。 在 这 种 情况 下 PC2 就 自动 
丢弃 了 这 个 ping 包 ， 所 以 PC1 也 就 收 不 到 由 PC2 返 回 的 ping 包 ， 自 然 也 就 有 了 图 
2-8 所 示 的 结果 。 


(7) 不 过 这 时 在 PC1 上 ， 也 发 生 了 一 个 明显 的 变化 。 当 再 次 在 命令 行 中 执行 合 
令 “arp -a” 后 ， 发 现 PC1 的 ARP 表 中 多 了 一 项 IP 地 址 172.16.1.1 和 PC2 的 MAC 地 
址 的 绑 定 项 ， 如 图 2-9 所 示 。 
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图 2-9 PC1 中 己 有 了 包含 PC2 的 ARP 表 项 


这 是 因为 ， 当 在 PC1 上 执行 “ping 172.16.1.1” 命 令 后 ，PC1 首 先 在 路 由 表 中 
找到 了 到 达 网 络 172.16.0.0/16 的 路 由 表 项 ， 然 后 就 对 数据 包 进 行 三 层 封装 。 当 三 
层 封 装 完成 后 ，PC1 就 要 根据 172.16.1.1 对 应 的 MAC 地 址 ， 对 数据 包 进 行 二 层 封 
装 。 这 是 因为 只 有 把 正确 的 MAC 地 址 封装 进 数据 帧 后 ， 数 据 包 才能 在 以 太 网 中 
被 正确 地 送 达 目 的 地 ， 因 为 在 以 太 网 中 只 依据 二 层 MAC 地 址 ， 而 不 是 三 层 IP 地 
址 传输 数据 。 但 这 时 当 PC1 在 ARP 表 中 查找 172.16.1.1 的 MAC 地 址 时 ， 它 并 没有 
找到 。 


这 时 PC1 就 会 发 出 一 个 广播 包 ， 询 问 谁 有 了 P 地 址 172.16.1.1 的 MAC 地 址 ， 当 
PC2 收 到 这 个 广播 包 后 ， 发 现 172.16.1.1 这 个 IP 地 址 和 自己 的 IP 地 址 一 样 ， 就 给 
PC1 返 回 一 个 数据 包 ， 数 据 包 中 就 包括 有 和 172.16.1.1 对 应 的 MAC 地 址 ， 当 PC1 收 
到 这 个 数据 包 后 ， 就 会 在 自己 的 ARP 表 中 添加 与 JP 地 址 172.16.1.1 对 应 的 MAC 地 
址 表 项 ， 所 以 当 再 次 执行 “arp -a” 命 令 后 ， 就 能 看 到 多 了 这 一 项 。 


那 为 什么 第 一 次 执行 “arp -a” 命 令 时 ，PC1 的 ARP 表 中 没有 与 172.16.1.1 对 
应 的 MAC 地 址 绑 定 呢 ? 因为 第 一 次 在 PC1 上 执行 ping 172.16.1.1 命 令 时 ，PC1 在 路 
由 表 中 没有 找到 与 网 络 172.16.0.0/16 对 应 的 路 由 ， 这 时 PC1 就 自动 放弃 了 封装 三 
层 数据 包 的 行为 ， 既 然 三 层 数据 包 都 没有 进行 封装 ， 就 更 谈 不 上 在 PC1 中 进行 二 
层 封装 了 ， 所 以 PC1 也 就 没有 必要 知道 与 172.16.1.1 对 应 的 MAC 地 址 了 ， 也 就 没 
有 再 发 送 一 个 广播 包 询问 与 172.16.1.1 对 应 的 MAC 地 址 。 所 以 ， 第 一 次 执行 “amp 
-a” 命 令 时 ，PC1 的 ARP 表 中 并 没有 与 172.16.1.1 对 应 的 MAC 地 址 表 项 。 


(8) 既 然 现在 知道 在 PC1 上 ping 不 通 PC2 是 因为 在 PC2 上 没有 到 达 网 络 
10.0.0.0/8 的 路 由 ， 那 现在 就 在 PC2 上 添加 一 条 静态 路 由 ， 如 图 2-10 所 示 ， 格 式 和 
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在 PC1 上 添加 到 网 络 172.16.0.0/16 的 路 由 格式 是 一 样 的 。 


图 2-10 在 主机 PC2 上 添加 静态 路 由 


(9) 在 PC2 上 添加 完 静态 路 由 后 ， 再 在 PC1 上 执行 ping 命 令 后 ， 就 能 ping 通 
了 ， 如 图 2-11 所 示 。 因 为 ping 包 到 达 PC2 后 ， 也 能 在 路 由 表 中 找到 去 往 PC1 网 络 
10.0.0.0/8 的 路 由 了 。 


图 2-11 在 PC1 上 能 够 ping 通 PC2 


3. 总 结 
1)ARP(Address Resolution Protocol， 地 址 解析 协议 ) 


(1) 概 念 : ARP 工 作 在 数据 链 路 层 ， 它 和 硬件 接口 进行 联系 ， 同 时 对 上 层 提 
供 服 务 。ARP 将 计算 机 的 32 位 网 络 耳 地 址 ， 转 化 为 48 位 的 MAC 物 理 地址 。 在 以 
太 网 中 的 数据 帧 从 一 个 主机 到 达 网 内 的 另 一 台 主 机 是 根据 48 位 的 以 太 网 地 址 来 确 
定 接口 的 ， 而 不 是 根据 32 位 的 耳 地址。 计算 机 网 卡 的 驱动 程序 ， 必 须知 道 目 的 端 
的 硬件 MAC 地 址 才能 发 送 数据 。 因 此 ， 必 须 把 耳目 的 地 址 转换 成 以 太 网 的 目的 
地 址 。 


在 TCP/IP 协 议 栈 中 ， 网 络 层 和 传输 层 只 关心 目标 主机 的 IP 地 址 。 这 就 导致 
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在 以 太 网 中 使 用 他 协议 时 ， 数 据 链 路 层 的 以 太 网 协议 接 到 上 层 也 协议 提供 的 数据 
中 ， 只 包含 目的 主机 的 也 地 址 。 而 地 址 解析 (address resolution) 就 是 主机 在 发 送 数 
据 帧 前 将 目标 人 P 地 址 转换 成 目标 MAC 地 址 的 过 程 。ARP 在 正常 情况 下 的 通信 模 
式 应 该 是 : 请 求 一 应 答 一 请 求 一 应 答 ， 也 就 是 一 问 一 答 的 规则 。 


(2)ARP 工 作 原理 : 首先 ， 每 台 主 机 都 会 在 自己 的 ARP 缓 冲 区 中 建立 一 个 
ARP 列 表 ， 以 表示 IP 地 址 和 MAC 地 址 之 间 的 对 应 关系 。 当 源 主机 需要 将 一 个 数 
据 包 发 送 到 目的 主机 时 ， 会 首先 检查 自己 ARP 列 表 中 是 否 存 在 该 人 P 地 址 对 应 的 
MAC 地 址 ， 如 果 有 ， 就 直接 将 数据 包 发 送 到 这 个 MAC 地 址 。 如 果 没有 ， 就 向 本 
地 网 段 发 起 一 个 ARP 请 求 的 广播 包 ， 查 询 此 目的 主机 对 应 的 MAC 地 址 。 此 ARP 
请 求 数据 包 里 包括 源 主机 的 也 地 址 、 硬 件 地 址 及 目的 主机 的 IP 地 址 。 网 络 中 所 
有 的 主机 收 到 这 个 ARP 请 求 后 ， 会 检查 数据 包 中 的 目的 人 P 是 否 和 自己 的 人 P 地 址 一 
致 。 如 果 不 相同 就 忽略 此 数据 包 ; 如 果 相同 ， 该 主机 首先 将 发 送 端的 MAC 地 址 
和 IP 地 址 添加 到 自己 的 ARP 列 表 中 ， 如 果 ARP 表 中 已 经 存在 该 IP 的 信息 ， 则 将 其 
覆盖 ， 然 后 给 源 主机 发 送 一 个 ARP 响 应 数据 包 ， 告 诉 对 方 自己 是 它 需 要 查找 的 
MAC 地 址 。 源 主机 收 到 这 个 ARP 响 应 数据 包 后 ， 将 得 到 的 目的 主机 的 IP 地 址 和 
MAC 地 址 添加 到 自己 的 ARP 列 表 中 ， 并 利用 此 信息 开始 数据 的 传输 。 如 果 源 主 
机 一 直 没 有 收 到 ARP 响 应 的 数据 包 ， 就 表示 ARP 查 询 失败 。 


(3)ARP 攻 击 : 是 通过 伪造 JP 地 址 和 MAC 地 址 ， 实 现 ARP 欺 骗 。ARP 攻 击 能 
够 在 网 络 中 产生 大 量 的 ARP 通 信 ， 从 而 使 网 络 阻塞 。 攻 击 者 只 要 持续 不 断 的 发 出 
伪造 的 ARP 响 应 包 就 能 更 改 目标 主机 ARP 缓 存 中 的 IP-MAC 条 目 ， 从 而 造成 网 络 
中 断 或 中 间 人 攻击 。 


2) 理 解 路 由 的 两 个 关键 知识 点 


(1) 路 由 器 对 三 层 数据 包 的 路 由 转发 ， 是 根据 “网 络 地 址 ”转发 数据 包 的 ， 
而 不 是 根据 “IP 地 址 ”转发 的 。 例 如 ， 一 台 路 由 器 收 到 一 个 需要 路 由 的 数据 
包 ， 数 据 包 的 目的 人 P 地 址 是 213.17.53.9， 掩 码 是 255.255.255.0。 然 后 路 由 器 首先 
要 做 的 是 结合 数据 包 的 JP 地址 和 掩 码 ， 算 出 数据 包 要 被 路 由 的 目的 网 络 地 址 是 
213.17.53.0/24， 然 后 ， 路 由 器 才 会 在 其 路 由 表 中 查找 有 没有 到 网 络 213.17.53.0/24 
的 路 由 ， 而 不 是 查找 到 IP 地 址 213.17.53.9 的 路 由 ， 车 有 就 依据 路 由 表 提 供 的 信 
息 ， 在 相应 的 接口 上 将 数据 包 转发 出 去 。 若 没有 找到 对 应 的 路 由 ， 则 路 由 器 就 会 
自动 把 数据 包 丢 弃 。 
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(2) 路 由 器 对 数据 包 的 路 由 是 依据 三 层 数 据 包 中 的 “目的 IP 地 址 ”进行 路 
转发 的 ， 而 和 数据 包 中 的 “ 源 卫 地 址 ”没有 关系 。 也 就 是 路 由 器 收 到 三 层 数据 
包 后 ， 只 需要 数据 包 中 的 目的 卫 地 址 和 目的 耳 地 址 的 掩 码 就 可 完成 对 数据 包 的 路 
由 ， 整 个 过 程 没有 使 用 到 三 层 数据 包 中 的 源 卫 地址 及 其 掩 码 。 


2.3 ”和 运 维 实例 : 实例 解析 GVRP、VTP 协 议和 
Trunk 技 术 


GVRP、VTP 协 议和 Trunk 技 术 三 者 之 间 有 很 多 的 相似 性 ， 它们 都 属于 二 层 协 
议 或 二 层 技术 ， 在 这 三 者 的 具体 配置 命令 中 ， 涉 及 最 多 的 配置 就 是 VLAN 方 面 的 
配置 ， 三 者 的 广泛 应 用 都 是 为 了 精简 网 络 维护 人 员 在 配置 和 管理 网 络 设备 时 对 命 
令 频 繁 和 大 量 的 使 用 。 但 它们 之 间 又 有 着 根本 的 不 同 ， 下 面 就 以 3 则 实例 ， 分 别 
对 其 进行 全 面 的 介绍 。 

1. GVRP 在 H3C 交 换 机 上 的 应 用 


GVRP(GARP VLAN Registration Protocol，GARP VLAN 注 册 协 议 ) 是 
GARP(Generic Attribute Registration Protocol， 通 用 属性 注册 协议 ) 的 一 种 应 用 。 
GARP 的 应 用 主要 包括 GMRP 和 GVRP， 其 中 GMRP(GARP Multicast Registration 
Protocol，GARP 组 播 注册 协议 ) 是 基于 GARP 的 一 个 组 播 注册 协议 。 用 于 维护 交换 
机 中 的 组 播 注册 信息 。 而 GVRP 维 护 设备 中 的 VLAN 动态 注册 信息 ， 并 传播 该 信 
息 到 其 他 的 设备 中 。 


设备 启动 GVRP 特性 后 ， 能 够 接收 来 自 其 他 设备 的 VLAN 注册 信息 ， 并 动 
态 更 新 本 地 的 VLAN 注册 信息 ， 包 括 当 前 的 VLAN 成 员 、 这 些 VLAN 成 员 可 以 通 
过 哪个 端口 到 达 等 。 而 且 设 备 能 够 将 本 地 的 VLAN 注册 信息 向 其 他 设备 传播 ， 以 
便 使 同一 局 域 网 内 所 有 设备 的 VLAN 信息 达成 一 致 。GVRP 传播 的 VLAN 注册 信 
息 既 包括 本 地 手工 配置 的 静态 注册 信息 ， 也 包括 来 自 其 他 设备 的 动态 注册 信息 。 
下 面 就 通过 一 则 实例 介绍 GVRP 协 议 在 H3C 交 换 机 上 的 应 用 。 


如 图 2-12 所 示 ，3 台 交换 机 的 型 号 都 是 H3C S3100-52TP-SI， 两 两 互联 。 设备 
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间 的 连接 情况 如 下 所 示 : 
S3100-A Eth 1/0/1 <----- > S3100-B Eth 1/0/1 
S3100-B Eth 1/0/2 <----- > S3100-C Eth 1/0/1 
S3100=C Eth 1/0/2 <===== > S3100-A Eth 1/0/2 
S3100-A 
S3100-B S3100-C 
图 2-12 3 个 H3C S3100 交 换 机 两 两 互联 图 示 
在 S3100-A 上 的 配置 如 下 所 示 : 


[S3100-A] gvrp 

// 开 启 全 局 GVRP 功 能 ， 缺 省 情况 下 ， 全 局 GVRP 功 能 处 于 关闭 状态 
[S3100-A] interface ethernet 1/0/1 
[S3100-A-Ethernet1/0/1] port link-type trunk 
[S3100-A-Ethernet1/0/1] port trunk permit VLAN all 
[S3100-A] interface ethernet 1/0/2 
[S3100-A-Ethernet1/0/2] port link-type trunk 
[S3100-A-Ethernet1/0/2] port trunk permit VLAN all 


// 将 两 个 以 太 网 端口 Ethernet1/0/1 和 Ethernet1/0/2 配置 为 Trunk 
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端口 ， 并 人 允许 所 有 VLAN 通过 
[S3100-A-Ethernet1/0/1] gvrp 
[S3100-A-Ethernet1/0/2] gvrp 


// 在 两 个 Trrunk 端口 上 开启 GVRP 功 能 ， 缺 省 情况 下 ， 端 口 GVRP 功能 处 
于 关闭 状态 


[S3100-A] VLAN 2 


// 配 置 静态 VLAN 2 


在 S3100-B 上 的 配置 如 下 所 示 : 


S3100-B] gvrp 

// 开 启 全 局 GVRP 功 能 

S3100-B] interface ethernet 1/0/1 
S3100-B-Ethernet1/0/1] port link-type trunk 
S3100-B-Ethernet1/0/1] port trunk permit VLAN all 
[S3100-B] interface ethernet 1/0/2 


S3100-B-Ethernet1/0/2] port link-type trunk 


S3100-B-Ethernet1/0/2] port trunk permit VLAN all 


// 将 两 个 以 太 网 端口 Ethernet1/0/1 和 Ethernet1/0/2 配置 为 Trunk 
端口 ， 并 人 允许 所 有 VLAN 通过 


[S3100-B-Ethernet1/0/1] gvrp 
[S3100-B-Ethernet1/0/2] gvrp 
// 在 两 个 rrunk 端口 上 开启 GVRP 功 能 
[S3100-B-Ethernet1/0/2] gvrp registration fixed 


// 配 置 端口 注册 模式 为 Fixed， 缺 省 情况 下 ，GVRP 端口 注册 模式 为 Normal 
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[S3100-B] VLAN 3 


// 配 置 静态 VLAN 3 


在 S3100-C 上 的 配置 如 下 所 示 : 


[S3100-C] gvrp 

// 开 启 全 局 GVRP 功 能 

[S3100-C] interface ethernet 1/0/1 
[S3100-C-Ethernet1/0/1] port link-type trunk 
[S3100-C-Ethernet1/0/1] port trunk permit VLAN all 
[S3100-C] interface ethernet 1/0/2 
[S3100-C-Ethernet1/0/2] port link-type trunk 
[S3100-C-Ethernet1/0/2] port trunk permit VLAN al1 


// 将 两 个 以 太 网 端口 Ethernet1/0/1 和 Ethernet1/0/2 配置 为 Trunk 
端口 ， 并 人 允许 所 有 VLAN 通过 


[S3100-C-Ethernet1/0/1] gvrp 
[S3100-C-Ethernet1/0/2] gvrp 

// 在 Trunk 端口 上 开启 GVRP 功 能 

[S3100-C-Ethernet1/0/1] gvrp registration forbidden 
[S3100-C-Ethernet1/0/2] gvrp registration forbidden 
// 配 置 两 个 端口 的 注册 模式 都 为 Forbidden 

[S3100-C] VLAN 4 


// 配 置 静态 VLAN4 
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以 上 3 个 H3C 交 换 机 上 的 配置 命令 看 着 好 像 都 一 样 ， 但 其 实在 最 关键 的 地 方 
都 会 有 细微 的 差别 。 主 要 就 是 在 配置 端口 的 注册 模式 时 ，3 个 交换 机 上 端口 的 配 
置 是 不 一 样 的 。S3100-A 的 两 个 端口 上 没有 专门 配置 注册 模式 ， 但 默认 情况 下 
使 用 的 就 是 Normal 模 式 ， 所 以 S3100-A 的 Ethernet1/0/1 和 Ethernet1/0/2 的 端口 注 
册 模 式 为 Normal; S3100-B 上 的 Ethernet1/0/1 也 没有 专门 配置 注册 模式 ， 所 以 它 
也 是 Normal 模 式 ， 而 S3100-B 的 Ethemet1/0/2 端 口 注 册 模 式 配置 成 了 Fixed 模 式 ; 
S3100-C 上 的 两 个 端口 配置 成 了 Forbidden 模 式 。 所 以 这 几 个 端口 在 实际 的 运行 
中 ， 所 传播 VLAN 的 机 制 会 有 所 不 同 。 


可 以 使 用 命令 “display VLAN dynamic” 来 查看 验证 各 个 端口 的 运行 机 制 ， 
命令 中 的 dynamic 参 数 是 指 显示 系统 动态 创建 的 VLAN 的 数量 和 编号 ， 动 态 VLAN 
是 指 通 过 GVRP 协 议 生 成 或 通过 Radius 服 务 器 所 下 发 的 VLAN。 下 面 是 在 3 台 交 换 
机 上 分 别 执 行 “display VLAN dynamic” 的 显示 结果 : 


[S3100-A] display VLAN dynamic 

Now, the following dynamic VLAN exist(s) : 
i 

// 显 示 S3100-A 上 的 动态 VLAN 信息 

[S3100-B] display VLAN dynamic 

Now, the following dynamic VLAN exist(s) : 
过 

// 显 示 S3100-B 上 的 动态 VLAN 信息 

[S3100-C] display VLAN dynamic 

Now, the following dynamic VLAN exist(s): 
No dynamic VLANs exist! 


// 显 示 S3100-C 上 的 动态 VLAN 信息 


从 以 上 的 输出 结果 可 以 看 出 ，S3100-A 和 S3100-B 两 台 交 换 机 之 间 可 以 互相 
交换 所 创建 的 VLAN， 这 是 因为 $3100-A 的 Ethernet1/0/1 和 S3100-B 的 Ethermet1/0/1 
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端口 的 注册 模式 都 是 Normal 模 式 ， 此 模式 允许 端口 动态 注册 、 传 播 动 态 VLAN 
以 及 静态 VLAN 信息 。 但 是 在 S3100-A 和 S3100-B 两 台 交 换 机 上 看 不 到 S3100-C 交 
换 机 所 创建 的 VLAN 4， 同 时 在 S3100-C 上 也 看 不 到 S3100-A 和 S3100-B 两 台 交 换 
机 所 创建 的 VLAN 2 和 VLAN 3 信息 ， 这 是 因为 虽然 分 别 在 S3100-A 和 S3100-B 的 
Ethernet1/0/2 端 口上 配置 了 Normal 和 Fixed 模 式 ， 但 S3100-C 两 个 端口 的 注册 模式 
都 是 Forbidden， 所 以 S3100-C 和 其 他 两 台 交 换 机 之 间 也 就 不 能 交换 除 VLAN 1 以 
外 的 所 有 VLAN 信 息 。GVRP 的 端口 注册 模式 有 以 下 3 种 : 


Normal 模 式 : 允许 该 端口 动态 注册 、 注 销 VLAN、 传 播 动态 VLAN 以 及 静态 
VLAN 信息 。 


Fixed 模 式 : 禁止 该 端口 动态 注册 、 注 销 VLAN， 只 传播 静态 VLAN 信息 ， 不 
传播 动态 VLAN 信息 。 也 就 是 说 被 设置 为 Fixed 模式 的 Trunk 口 ， 即 使 允许 所 有 
VLAN 通过 ， 实 际 通过 的 VLAN 也 只 能 是 手动 配置 的 那 部 分 。 


Forbidden 模 式 : 禁止 该 端口 动态 注册 、 注 销 VLAN， 不 传播 除 VLAN1 以 外 
的 任何 的 VLAN 信息 。 也 就 是 说 被 配置 为 Forbidden 模式 的 Trunk 端口 ， 即 使 允许 
所 有 VLAN 通过 ， 实 际 通过 的 VLAN 也 只 能 是 VLAN]1。 


另外 ， 可 以 通过 一 些 “display gvrp” 命 令 显示 配置 后 GVRP 的 运行 情况 ， 或 
者 是 查看 显示 信息 验证 配置 效果 。 命 令 如 下 所 示 : 


[H3C-S3100]display gvrp status 

// 显 示 GVRP 的 全 局 状态 信息 

[H3C-S3100]display gvrp statistics [ interface interface-list ] 
// 显 示 GVRP 的 统计 信息 


[H3C-S3100]display gvrp state interface interface-type 
interface-number VLAN VLAN-id 


// 显 示 GVRP 的 状态 机 信息 


[H3C-S3100]display gvrp VLAN-operation interface interface- 
type interface-number 


// 显 示 当 前 的 动态 VLAN 操作 信息 
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2. Trunk 技 术 在 Cisco 交 换 机 和 H3C 交 换 机 之 间 的 应 用 


从 上 面 的 例 “1” 中 ， 可 以 看 出 GVRP 协 议 可 以 减轻 网 络 维护 人 员 在 进行 
网 络 设备 二 层 配置 方面 的 工作 量 。 可 能 在 配置 几 个 或 十 几 个 VLAN 时 感觉 不 出 
GVRP 的 作用 所 在 ， 但 如 果 要 配置 的 VLAN 数 量 在 成 百 上 千 的 话 ， 马 上 就 能 体现 
出 GVRP 的 巨大 功用 。 只 需要 在 一 台 设备 上 配置 好 相关 的 VLAN， 其 他 的 设备 只 
要 设置 好 GVRP 的 相关 设置 ， 它 就 会 自动 把 VLAN 的 配置 同步 过 去 。 


但 是 ， 所 有 协议 的 使 用 都 只 能 在 支持 它 的 设备 上 使 用 ，GVRP 协 议 在 以 前 
思科 的 CatOS 系 统 上 支持 的 还 比较 好 。 目 前 ， 大 部 分 的 思科 IOS 系 统 已 不 支持 
GVRP 协 议 。 而 目前 H3C 的 设备 基本 上 都 能 支持 GVRP 协 议 。 所 以 在 实际 工作 
中 ， 如 果 使 用 的 网 络 设备 都 是 思科 的 设备 ， 或 者 所 有 的 设备 都 是 H3C 设 备 ， 就 
可 以 使 用 VTP 或 GVRP 协 议 简化 网 络 的 配置 工作 。 但 若是 思科 的 设备 和 H3C 的 设 
备 放 在 一 起 使 用 话 ，GVRP 协 议和 VRP 协 议 就 不 能 再 应 用 了 。 如 图 2-13 所 示 ， 
一 台 Cisco3750 交 换 机 和 一 台 H3C S3100 相 连 ， 它 们 相连 的 端口 分 别 为 Cisco3750 
GigabitEthernet1/0/1 和 H3C S3100 GigabitEthernetl/1/1 。 


~ty 
bol ed 
A 


H3C S3100 


Cisco3750 
图 2-13 ”Cisco3750 和 H3C S3100 交 换 机 相连 图 示 


为 了 让 两 台 交换 机 中 的 VLAN 数 据 能 够 互相 通信 ， 最 好 的 方法 就 是 使 用 
Trunk 技 术 。 如 下 所 示 是 在 H3C 和 Cisco 交 换 机 上 所 做 的 Trunk 配 置 : 


[H3C-S3100] interface GigabitEthernet1/1/1 
[H3C-S3100-GigabitEthernet1/1/1] port link-type trunk 
[H3C-S3100-GigabitEthernet1/1/1] port trunk permit VLAN all 


// 把 H83C-S3100 的 GigabitEthernet 1/1/1 端 口 配置 为 trunk 模 式 ， 
并 人 允许 所 有 VLAN 通 过 


Cisco3750 (config)#interface GigabitEthernet1/0/1 
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Cisco3750 (config-if)# switchport trunk encapsulation dotlq 
Cisco3750 (config-if)#switchport trunk allowed VLAN all 
Cisco3750 (config-if)#switchport mode trunk 


// 把 cisco3750 的 Gig1/0/1 端 口 配置 为 Trunk 模 式 ， 并 指定 封装 模式 为 
dotlq 


在 进行 上 面 的 配置 命令 时 ， 在 Cisco 的 交换 机 上 最 好 指定 Trunk 的 封装 模式 ， 
因为 默认 情况 下 ， 思 科 设 备 使 用 的 封装 模式 可 能 是 思科 专 有 的 封装 模式 ISL。 而 
H3C 交 换 机 只 支持 dot1q 的 封装 模式 ， 所 以 双方 必须 匹配 才 行 。 配 置 完 上 面 的 命 
令 后 ， 也 可 以 使 用 如 下 所 示 的 命令 ， 查 看 在 端口 上 配置 的 Trunk 情 况 : 


Cisco3750#show interface trunk 


Port Mode Encapsulation Status Native VLAN 
Gi1/0/1 on 802.1q trunking 
Port VLANs allowed on trunk 

Gi1/0/1 1-4094 


// 在 Cisco3750 上 查看 显示 的 结果 

[H3C-S3100]display port trunk 
The following trunk ports exist: 
GigabitEthernet1/1/1 


// 在 H3C S3100 上 查看 显示 的 结果 


通过 上 面 的 查看 命令 可 以 确定 ， 在 两 个 交换 机 上 的 两 个 端口 上 已 做 好 了 
Trunk 的 配置 。 这 时 只 要 在 两 台 交换 机 上 分 别 创建 相同 的 VLAN， 并 把 Cisco3750 
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和 H3C S3100 交 换 机 上 的 其 他 端口 都 划 入 到 所 创建 的 VLAN 中 ， 并 在 两 个 交换 
机 上 分 别 接 入 两 个 终端 ， 并 在 终端 上 配置 相应 的 卫 地 址 ， 这 样 两 个 终端 就 可 以 
通过 两 个 交换 机 进行 通信 了 。 例 如 ， 在 两 台 交 换 机 上 都 创建 了 VLAN 2， 并 把 
Cisco3750 的 Gil/0/2 和 H3C S3100 的 Eth1/0/1 都 划 入 到 VLAN 2 中 ， 然 后 分 别 在 
这 两 个 端口 上 接 入 PC1 和 PC2，PC1 的 IP 地 址 为 192.168.2.1 255.255.255.0，PC2 
的 IP 地 址 为 192.168.2.2 255.255.255.0， 这 样 在 PC1 上 就 能 ping 通 PC2 的 IP 地 址 
192.168.2.2， 同 理 PC2 也 能 ping 通 PC1。 


通过 上 面 的 配置 ， 使 用 Trunk 技 术 也 就 很 好 地 解决 了 不 同型 号 网 络 设备 之 间 
的 数据 通信 。 
3. VTP 协 议 在 Cisco 交 换 机 上 的 应 用 


VTP(VLAN Trunking Protocol) 协 议 是 思科 私有 协议 ， 它 的 作用 和 上 面 提 到 的 
GVRP 协 议 基本 一 致 。 如 图 2-14 所 示 ， 网 络 中 共 使 用 了 4 台 Cisco3750 交 换 机 ， 设 
备 间 的 连接 情况 如 下 所 示 : 


3750-A GigabitEthernet 1/0/1 <----- > hh 
GigabitEthernet 1/0/1 


3750-A GigabitEthernet 1/0/2 <----- > 3750=B 
GigabitEthernet 1/0/1 


3750-B GigabitEthernet 1/0/2 <----- > 3750-D 
GigabitEthernet 1/0/2 


3750-C GigabitEthernet 1/0/2 <----- S50 = 
GigabitEthernet 1/0/1 
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3750-A 3750-B 


3750-C 3750-D 
图 2-14 4 个 Cisco3750 交 换 机 通过 Trunk 线 相连 图 示 


网 络 中 的 四 4 条 线路 都 是 Trunk 线 路 ， 每 台 交换 机 上 的 两 个 端口 都 配置 成 了 
Trunk 口 ， 其 中 3750-A 上 的 两 个 端口 的 配置 如 下 所 示 : 


3750-A (config) #interface GigabitEthernet1/0/1 

3750-A (config-if)# switchport trunk encapsulation dotlq 
3750-A (config-if)#switchport trunk allowed VLAN all 
3750-A (config-if)#switchport mode trunk 

3750-A (config) #interface GigabitEthernet1/0/2 

3750-A (config-if)# switchport trunk encapsulation dotlq 
3750-A (config-if)#switchport trunk allowed VLAN all 


3750-A (config-if)#switchport mode trunk 


然后 在 3750-B、3750-C 和 3750-D3 台 交换 机 上 共 6 个 端口 上 的 Trunk 配 置 命 令 
和 上 面 在 3750-A 上 两 个 端口 的 配置 命令 是 一 样 的 。 


下 面 是 在 4 台 Cisco3750 交 换 机 上 配置 VIP 的 命令 : 
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3750-A(config)#vtp version 2 
3750-A(config)#vtp domain cisco 
3750-A(config)#vtp password 123456 
3750-A(config)#vtp mode server 

// 在 3750-A 上 配置 VrP， 并 把 VTP 模 式 配 置 为 server 
3750-B (config)#vtp version 2 

3750-B (config)#vtp domain cisco 

3750-B (config)#vtp password 123456 

3750-B (config)#vtp mode client 

// 在 3750-B 上 配置 VrP， 并 把 VTP 模 式 配 置 为 client 
3750-C (config)#vtp version 2 

3750-C (config)#vtp domain cisco 

3750-C (config)#vtp password 123456 

3750-C (config)#vtp mode client 

// 在 3750-C 上 配置 VTP， 并 把 VTP 模 式 配置 为 client 
3750-D(config)#vtp version 2 
3750-D(config)#vtp domain cisco 
3750-D(config)#vtp password 123456 
3750-D(config)#vtp mode transparent 


// 在 3750-D 上 配置 YTP， 并 把 VTP 模 式 配置 为 transparent 


在 进行 上 面 的 配置 时 需要 注意 ， 所 有 交换 机 必须 使 用 相同 的 VTP 域名， 除非 
网 络 设计 时 就 强调 了 多 个 不 同 的 VTP 域 ， 在 同一 个 VTP 域 中 ， 所 有 的 交换 机 都 必 
须 运行 同一 个 VTP 版 本 ;在 同一 个 VTP 域 中 ， 在 交换 机 上 配置 VIP 密 码 并 不 是 必 
须 的 ， 但 如 果 要 使 用 VIP 密码 ， 所 有 的 交换 机 就 必须 使 用 相同 的 VTP 密 码 ; 所 有 
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VIP 服务器 模式 的 交换 机 都 应 具有 相同 的 配置 修改 编号 ， 而 且 应 当 是 在 最 高 编号 
的 域 中 ; 在 必须 把 一 个 交换 机 从 透明 模式 转换 成 服务 器 模式 时 ， 先 要 把 透明 模式 
交换 机 上 的 所 有 VLAN 退 出 服务 器 模式 。 


配置 完 上 面 的 命令 后 ， 就 可 以 在 VTP 模 式 是 server 的 3750-A 上 创建 VLAN， 
然后 所 创建 的 VLAN 会 自动 分 发 到 3750-B 和 3750-C 上 。 也 就 是 在 3750-B 和 3750-C 
上 不 用 手动 创建 VLAN， 它 们 上 面 就 会 自动 生成 在 3750-A 上 所 创建 的 VLAN。 例 
如 ， 在 3750-A 上 创建 了 VLAN 2， 那么 在 3750-B 和 3750-C 上 ， 使 用 命令 “show 
VLAN”， 就 能 查看 到 在 这 两 个 交换 机 上 也 存在 VLAN 2。 但 是 在 3750-D 上 就 查 
看 不 到 存在 VLAN 2 的 信息 。 


这 是 因为 3750-A 的 VTP 模 式 是 server 模 式 ， 它 可 以 维护 该 VTP 域 中 所 有 
VLAN 信息 列表 ， 可 以 创建 、 删 除 或 修改 VLAN。 而 3750-B 和 3750-C 的 VTP 模 
式 是 client 模 式 ， 它 虽然 也 维护 所 有 VLAN 信 息 列表 ,但 其 VLAN 的 配置 信息 是 
从 3750-A 学 到 的 。VTP Client 不 能 建立 、 删 除 或 修改 VLAN。 另 外 ，3750-D 的 
VTP 模 式 是 Transparent， 它 相当 于 是 网 络 中 一 台独 立 的 交换 机 ， 不 参与 VTP 的 工 
作 ， 它 不 从 VTP Server 学 习 VLAN 的 配置 信息 ， 它 只 拥有 本 交换 机 上 自己 维护 的 
VLAN 信 息 。3750-D 只 可 以 创建 、 删 除 和 修改 本 机 上 的 VLAN 信 息 。 


可 以 使 用 命令 “show vtp status” 查 看 交换 机 上 配置 VIP 的 基本 信息 ， 如 下 所 
示 是 在 3750-A 上 执行 此 命令 的 输出 : 


3750-A#show vtp status 


VTP Version Ci 
Configuration Revision Ee 
Maximum VLANs supported locally L005 
Number of existing VLANs El 
VTP Operating Mode : Server 


VTP Domain Name lSeG 
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从 上 面 所 配置 的 命令 可 以 看 出 ， 如 果 把 3750-A、3750-B 和 3750-C 上 还 没有 
使 用 的 端口 都 划 入 到 VLAN 2 中 ， 那 接 入 到 所 有 这 些 端 口上 的 终端 之 间 就 可 以 通 
信 了 ， 因 为 这 些 终端 实际 上 都 是 位 于 VLAN 2 的 这 个 局 域 网 中 。 但 是 如 果 想 让 连 
接 到 VTP 模 式 是 Transparent 的 3750-D 上 的 终端 ， 也 能 和 连接 到 3750-A 上 的 位 于 
VLAN 2 中 的 终端 之 间 相互 通信 ， 那 还 需要 做 那些 配置 ? 


因为 3750-D 交 换 机 VTP 模 式 的 缘故 ， 它 上 面 并 没有 自动 创建 VLAN 2， 不 过 
这 时 我 们 可 以 在 3750-D 上 手动 创建 VLAN 2， 又 因为 3750-D 与 两 个 交换 机 3750-B 
和 3750-C 的 连接 都 是 Trunk 连 接 ， 并 且 允 许 所 有 VLAN 在 其 上 通过 。 所 以 ， 只 要 
在 3750-D 上 手动 创建 了 VLAN 2， 并 把 3750-D 上 没有 使 用 的 端口 都 划 入 到 VLAN 
2 中 ， 这 样 接 入 到 位 于 3750-D 上 VLAN 2 中 端口 的 终端 ， 也 就 能 和 接 入 到 3750-A 
上 VLAN 2 中 端口 的 终端 之 间 相互 通信 了 。 


但 这 时 图 2-14 中 的 4 台 交 换 机 ， 每 台 交换 机 都 有 端口 位 于 VLAN 2 中 ， 哪 是 不 
是 位 于 4 台 交 换 机 上 VLAN 2 中 的 端口 就 构成 了 一 个 环 路 ? 是 不 是 VLAN 2 中 的 一 
个 终端 发 送 一 个 数据 信号 ， 这 个 数据 信号 就 在 这 四 台 交换 机 中 永 不 停息 的 传输 下 
去 ， 因 为 它们 构成 了 一 个 环 路 ? 


其 实 不 然 ， 因 为 在 Cisco 交 换 机 上 默认 是 运行 了 生成 树 协议 ， 生 成 树 协议 的 
运行 目的 就 是 要 阻止 交换 机 物理 上 的 环 路 导致 最 终 数据 传输 上 的 环 路 。 它 会 把 构 
成 物理 环 路 上 的 某 个 端口 变 成 Blocked 状 态 ， 从 而 把 物理 上 的 环 路 切断 。 如 下 所 
示 是 在 3750-A 和 3750-D 上 执行 “show spanning-tree interface interface-type ”命令 
的 显示 结果 : 


3750-A#show spanning-tree interface g1/0/1 

VLAN Role Sts Cost Prios: Nbr Type 

VLANO0002 Root FWD 4 128.25 P2p 
// 在 3750-A 执 行 显示 生成 树 命令 的 显示 结果 

3750-D#show spanning-tree interface g1/0/2 


VLAN Role Sts Cost Prio.Nbr Type 
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VLAN0002 Root BLK 4 128:25 P2P 


// 在 3750-D 执 行 显示 生成 树 命令 的 显示 结果 


从 上 面 的 输出 结果 ， 可 以 看 出 在 3750-A 上 的 端口 g1/0/1 的 状态 为 “FWD”， 
它 是 Forward 的 缩写 ， 也 就 是 VLAN 2 中 的 数据 传输 到 该 端口 ， 它 会 把 接收 到 的 
VLAN 2 中 的 数据 转发 出 去 。 而 在 3750-D 上 的 端口 gl/0/2 的 状态 为 “BLK”， 它 
是 Blocked 的 缩写 ， 也 就 是 VLAN 2 中 的 数据 传输 到 该 端口 ， 它 会 阻塞 接收 到 的 
VLAN 2 中 的 数据 继续 传输 下 去 ， 目 的 就 是 阻止 环 路 的 生成 。 也 就 是 说 3750-D 上 
端口 gl/0/2 的 阻塞 状态 ， 阻 止 了 4 台 交 换 机 在 VLAN 2 中 生成 环 路 的 可 能 性 。 这 其 
实 也 就 是 生成 树 的 根本 作用 。 


通过 上 面 例 “3” 中 的 实例 ， 依 次 介绍 了 VTP 协 议 、Trunk 技 术 和 生成 树 协议 
3 个 知识 点 。 从 中 也 可 以 看 出 它们 之 间 是 环 环 相 扣 ， 紧 密 结合 在 一 起 使 用 的 。 


4. 总 结 


(1) 学 习 。 从 事 技术 工作 ， 不 断 地 学 习 是 每 个 技术 工作 者 所 必 不 可 少 的 要 
求 。 就 像 上 面 例 “1” 中 的 GVRP 协 议 ， 它 的 原理 其 实 很 简单 ， 如 果 设 备 齐全 的 
话 ， 实 施 起 来 也 很 简单 ， 但 这 前 提 是 你 必须 去 学 习 了 解 这 个 协议 ， 并 最 终 掌 握 
它 。 只 有 这 样 ， 当 你 面 对 问 题 需要 解决 它 时 ， 才 不 至 于 手忙脚乱 。 如 果 做 不 到 持 
续 不 断 学 习 的 话 ， 是 很 难 在 工作 中 走 到 其 他 技术 者 的 前 列 。 


尤其 是 现在 各 种 新 技术 不 断 涌现 ， 不 学 习 肯 定 就 要 落伍 。 在 刚 开 始 面 对 云 计 
算 和 虚拟 化 ， 可 能 谁 都 不 清楚 它们 的 概念 和 具体 的 应 用 ， 只 有 查看 、 学 习 各 种 资 
料 和 书籍 ， 了 解 它 的 定义 。 并 且 有 条 件 的 话 ， 多 参与 实践 学 习 ， 这 样 才能 彻底 掌 
握 它 ， 要 不 然 面 对 新 技术 总 是 一 头 雾 水 。 活 到 老 ， 学 到 老 ， 这 句 话 尤其 适用 从 事 
技术 的 工作 者 。 


(2) 实 践 。 从 事 网 络 维护 工作 ， 是 万 万 不 能 少 了 各 种 各 样 的 实践 操作 。 我 自 
己 从 开始 参加 CCNA 的 培训 ， 到 后 期 的 CCIE 的 培训 ， 几 乎 每 一 堂 课 都 有 实践 操 
作 ， 都 有 实验 。 甚 至 在 CCIE 的 培训 中 ， 绝 大 部 分 的 时 间 和 精力 放 在 “CCIE 集 训 
营 ”、“CCIE LAB 实 验 室 ”等 这 些 实 实在 在 的 做 实验 上 。 这 是 因为 我 们 学 到 的 


第 2 章 网络 二 层 协议 1105 


每 一 个 知识 点 ， 最 终 都 要 在 实践 中 验证 ， 通 过 做 实验 来 说 明 它 是 正确 的 还 是 错 
误 的 。 

包括 平时 在 书本 上 或 网 络 上 看 到 一 些 知识 点 ， 可 能 在 原理 上 都 能 明白 ， 知 道 
它们 运行 的 机 制 和 过 程 。 但 即使 是 这 样 ， 也 只 有 通过 把 这 些 知 识 点 涉及 到 的 一 些 
命令 在 交换 机 、 路 由 器 等 设备 上 操作 一 遍 ， 看 看 它们 到 底 符合 不 符合 书 上 所 讲 的 
结果 。 这 样 心底 才能 “踏实 ”地 接受 这 个 知识 点 ， 因 为 它 经 过 了 实践 的 检验 ! 


所 有 从 事 网 络 工作 者 ， 一 定 要 不 断 的 给 自己 创造 参与 实践 工作 的 机 会 。 如 果 
在 工作 中 能 接触 到 现成 的 网 络 设备 更 好 ， 这 样 学 习 起 来 更 方便 。 要 是 达 不 到 这 种 
条 件 的 话 ， 可 以 参加 一 些 培训 班 ， 它 们 多 多 少 少 都 能 提供 一 些 操作 实验 。 实 在 不 
行 ， 还 可 以 使 用 一 些 模拟 器 ， 如 Dynamips， 它 们 所 搭建 起 来 的 实验 环境 也 很 接 
近 真 实 的 网 络 环境 。 总 之 ， 一 切 网 络 知识 ， 只 有 经 过 实践 的 检验 ， 才 能 算 它 是 正 
确 的 ， 也 才能 算 自己 真正 掌握 了 它 。 


(3) 总 结 。 除 非 你 有 过 目 不 忘 的 能 力 ， 和 否则 ， 经 常 对 所 学 到 的 知识 点 进行 归 
纳 总 结 是 必 不 可 少 的 。 如 果 要 把 所 有 的 知识 点 、 操 作 命令 都 记 在 脑子 里 的 话 ， 
这 几乎 是 不 可 能 的 。 因 为 现实 中 ， 制 造 网 络 设备 的 厂家 会 有 很 多 种 ， 它 们 可 
能 为 了 实现 同样 一 种 功能 ， 而 使 用 了 不 同 的 操作 命令 。 最 典型 的 就 是 Cisco 和 
H3C， 前 者 的 显示 命令 用 是 “show”， 后 面 再 加 上 各 种 参数 来 查看 交换 机 或 路 
由 器 的 各 种 配置 ， 而 后 者 却 是 用 “display”。 另 外 ， 在 这 两 个 厂家 设备 上 显示 端 
口 基 本 信息 的 命令 上 ， 前 者 是 “show interface brief”， 而 后 者 是 “display brief 
interface”， 最 后 两 个 单词 顺序 还 是 相反 的 。 这 些 知识 点 如 果 不 进 行 提前 总 结 记 
忆 的 话 ， 到 了 要 使 用 的 时 候 才 去 熟悉 和 记忆 ， 就 会 严重 影响 工作 的 效率 。 


另外 ， 就 像 本 篇 文章 所 写 的 东西 ， 其 实 也 是 一 种 总 结 。 把 相似 的 协议 、 相 关 
的 技术 放 到 一 起 进行 比较 和 分 析 。 再 把 和 协议 相关 的 命令 都 罗列 出 来 进行 对 比 ， 
加 上 一 些 相关 的 实例 。 这 样 以 后 在 工作 中 ， 若 再 想 了 解 、 查 看 和 使 用 这 方面 的 协 
议和 技术 时 ， 就 只 需 打 开 这 些 文章 ， 所 有 的 相关 知识 就 都 一 目 了 然 ， 不 用 再 去 查 
各 种 各 样 的 资料 ， 或 在 网 上 搜 来 搜 去 的 。 这 其 实 就 是 总 结 提高 了 工作 效率 。 
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2.4” 运 维 实例 : 用 MAC 地 址 定位 目标 主机 


网 络 结构 图 如 图 2-15 所 示 。 为 了 确保 重要 设备 的 稳定 性 和 宛 余 性 ， 核 心 层 交 
换 机 使 用 两 台 Cisco4507， 通 过 Trunk 线 连接 。 在 两 台 核心 交换 机 上 连接 有 单位 重 
要 的 服务 器 ， 如 视频 服务 器 、FTP、WEB 和 邮件 服务 器 等 。 每 台 服 务 器 都 有 两 
根 网 线 分 别 连接 到 4507A 和 4507B 上 ， 以 保证 服务 器 和 核心 交换 机 之 间 传 输 数 据 
的 稳定 性 。 单 位 JP 地 址 的 部 署 ， 使 用 的 是 C 类 私有 192 网 段 的 地 址 。 所 有 的 服务 
器 都 位 于 VLAN 11~~VLAN 20 中 ， 对 应 的 网 络 号 是 192.168.11.0 一 192.168.20.0， 
如 视频 服务 器 的 JP 地址 为 192.168.11.8， 子 网 掩 码 为 255.255.255.0， 默 认 网 关 为 
192.168.11.254。 服 务 器 的 了 地 址 、 默 认 网 关 和 DNS 都 是 静态 配置 的 。 


4507A 4507B 


视频 FTP WEB 邮件 


光纤 交换 机 A| EMC 存 储 光纤 交换 机 B 


图 2-15 网络 结构 图 


因为 服务 器 上 数据 的 重要 性 ， 需 要 对 数据 进行 存储 、 备 份 ， 所 以 每 台 服 务 器 
都 使 用 HBA 卡 ， 再 通过 光纤 连接 到 SAN 网 络 中 的 光纤 交换 机 上 ， 再 通过 光纤 交 
换 机 连接 到 EMC 的 存储 、 备 份 设备 上 。 
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1. 服务 器 应 用 系统 升级 引起 的 问题 

因为 业务 扩充 和 应 用 系统 升级 的 要 求 ， 需 对 视频 服务 器 上 的 操作 系统 及 应 用 
软件 进行 重新 安装 。 但 在 对 视频 服务 器 上 的 系统 进行 备份 和 规整 时 发 现 ， 服 务 器 
上 有 两 块 网 卡 都 在 使 用 。 在 视频 服务 器 的 操作 系统 Win 2003 中 的 “命令 行 ”中 执 
行 ipconfig /al 命令 ， 此 命令 能 够 显示 当前 系统 的 TCP/IP 配 置 的 设置 值 ， 并 能 用 来 
检验 人工 配置 的 TCP/IP 设 置 是 否 正确 。 执 行 命令 后 显示 的 结果 如 下 所 示 : 


Ci:\ >ipconfig /all 


Ethernet adapter 本 地 连接 Es 


Description...........: Intel (R)PRO/1000 MT Network Connection 
Physdcal Addresasee ER O00 13 72-42=24=50Q 

so bo = - 

Subnet Mask -oe 25592255-255.0 


Ethernet adapter 本 地 连接 过 


Descriptione. ee Tntel{(R)PRO/LOOO MT NMetwork 


Connection #2 


Physical Noddresss e000 13 12 33 -21 68 
iP Addresse. ea 上 922168511 8 

SubneEt ask es a 2 

Default Gateway...........: 19211685116254 


上 面 的 输出 结果 中 ， 其 中 192.168.11.8 的 JP 地址 ， 是 视频 服务 器 连接 到 单位 
办 公 网 中 所 使 用 的 地 址 。 因 为 办 公 网 中 所 有 的 PC、 服 务 器 及 网 络 交换 、 路 由 设 
备 都 使 用 的 是 192 网 段 的 地 址 。 


但 是 上 面 的 显示 中 ， 还 有 另外 一 个 10.1.1.12 的 IP 地 址 ， 这 个 地 址 不 是 单位 办 
公 网 中 所 使 用 的 地 址 。 但 这 个 地 址 却 是 个 活动 地 址 ， 也 就 是 在 正常 使 用 通过 视频 
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服务 器 上 的 流量 监控 软件 ， 能 够 看 到 10.1.1.12 的 网 卡 上 有 数据 流量 通过 。 那 它 是 
哪儿 的 地 址 ? 它 是 连接 到 什么 设备 上 的 ? 它 是 连接 到 什么 网 络 中 的 ? 因为 在 机 房 
视频 服务 器 的 日 常 工作 记录 本 上 ， 也 没有 和 JP 地 址 10.1.1.12 相 关 的 记录 。 但 是 要 
对 视频 服务 器 的 应 用 系统 进行 升级 ， 还 必须 弄 明 白 服 务 器 上 所 有 耳 地 址 的 功能 和 
用 途 。 所 以 只 能 通过 其 他 的 方法 查询 10.1.1.12 的 功用 了 。 

2. 解决 问题 的 步骤 

(D 既 然 知道 视频 服务 器 上 有 两 个 活动 的 耳 地 址 192.168.11.8 和 10.1.1.12， 那 
在 服务 器 的 ARP 表 中 ， 也 肯定 有 192.168.11.0/24 和 10.1.1.0/24 这 两 个 网 段 中 的 卫 地 
址 和 MAC 地 址 的 对 应 项 。 所 以 在 服务 器 的 “命令 行 ” 中 ， 执 行 “arp -a” 命 令 。 
此 命令 是 通过 询问 协议 数据 ， 显 示 当 前 的 ARP 表 项 。 如 果 指 定 了 特定 的 耳 地 址 ， 
则 只 显示 指定 计算 机 IP 地 址 和 物理 地 址 的 对 应 项 。 如 果 不 止 一 个 网 络 接口 使 用 
ARP， 则 显示 每 个 ARP 表 项 。 显 示 的 结果 如 下 所 示 : 


EN Sarp, -a 


Interfaces 410-1-1-12 === 0x10003 
Internet Address Physical Address Type 
3 1 Bp 00-60-16-0a-b5-a3 dynamic 
Interface: L192- 41468: 118 ==— Ox10004 
Internet Address Physical Address Type 
L9260 Ll 04-1a-72-6a-4e-f2 dynamic 
T9268 T1254 01=80=0c-b7=al=45 dynamic 


由 上 面 显示 结果 可 以 看 出 ，192.168.11.0 网 段 中 的 了 地 址 和 MAC 地 址 的 对 应 
项 都 是 正常 的 ， 这 些 地 址 都 是 单位 的 办 公 网 中 正在 使 用 的 地 址 。 

但 是 显示 结果 中 的 “10.1.1.2 00-60-16-0a-b5-a3 dynamic” 项 ， 是 在 单位 办 
公 网 中 没有 使 用 的 地 址 。 不 过 配置 10.1.1.2 地 址 的 设备 ， 表 定 是 和 视频 服务 器 的 
10.1.1.12/24 的 网 卡 相连 接 的 。 
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为 了 证 实 10.1.1.2 的 IP 地 址 是 活动 的 ， 就 在 视频 服务 器 的 “命令 行 ”中 执行 
了 ping 10.1.1.2 的 命令 ， 得 到 如 下 的 显示 : 


C:\Users\Administrator>ping 10.1.1.2 

正在 Ping 10.1.1.2 具有 32 字 节 的 数据 : 

来 自 10.1.1.2 的 回复 : 字 节 =32 时 间 =1ms TTL=255 
来 自 10.1.1.2 的 回复 : 字 节 =32 时 间 =1ms TTL=255 
来 自 10.1.1.2 的 回复 : 字 节 =32 时 间 =lms TTL=255 
来 自 10.1.1.2 的 回复 : 字 节 =32 时 间 =lms TTL=255 
10.1.1.2 的 Ping 统计 信息 : 

数据 包 : 已 发 送 = 4, 已 接收 = 4， 丢失 = 0 (0% 丢失 )， 
往返 行程 的 估计 时 间 (以 毫秒 为 单位 ) : 

最 短 = lms， 最 长 = lms, 平均 = lms 


从 上 面 的 显示 可 以 看 出 ，10.1.1.2 的 卫 地 址 也 是 处 于 活动 状态 的 。 


(2) 现 在 已 经 知道 和 视频 服务 器 耳 地 址 为 10.1.1.12 的 网 卡 相连 的 设备 的 了 地 址 
和 MAC 地 址 。 因 为 从 10.1.1.12 网 卡 连 接 出 来 的 网 线 是 通过 机 房 的 地 下 布线 的 。 也 
就 是 说 沿 着 视频 服务 器 网 卡 后 面 的 网 线 找 各 个 连接 点 是 非常 困难 的 ， 因 为 所 有 的 
网 线 都 在 地 板 下 ， 而 地 板 上 还 放 着 服务 器 的 机 柜 。 


所 以 现在 已 经 知道 了 10.1.1.2 的 JP 地址 和 MAC 地 址 ， 那 能 否 在 办 公 网 中 找到 
和 这 两 个 地 址 相关 的 信息 ， 也 就 是 在 4507 交 换 机 的 ARP 表 和 CAM 表 中 进行 查找 。 


因为 在 三 层 交 换 机 中 都 保存 有 这 两 张 表 ， 可 以 通过 “show arp” 命 令 查 找 连 
接 到 三 层 设备 的 客户 端 或 服务 器 的 IP 地 址 和 其 MAC 地 址 的 对 照 表 。 通 过 “show 
mac address-table ”查找 连接 到 二 层 设备 的 客户 端 或 服务 器 的 MAC 地 址 和 其 连接 
到 二 层 设备 接口 的 对 照 表 。 也 就 说 只 要 知道 其 中 的 某 一 个 就 可 以 知道 另 一 个 的 
值 。 也 可 以 说 三 层 设 备 维护 的 是 ARP 表 ， 二 层 设 备 维护 的 是 CAM 表 。 因 为 三 层 
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交换 机 同时 具备 三 层 、 二 层 功能 ， 所 以 这 两 张 表 它 都 进行 维护 。 

但 是 在 4507 中 执行 “Cisco4507#show arp | include 10.1.1.2” 和 “Cisco4507#sh 
mac address-table dynamic | include 0060.160a.b5a3” 两 条 命令 后 ， 并 没有 任何 结 
果 显 示 ， 如 下 所 示 : 


Cisco4507#sh arp | include 10.1.1.2 
Cisco4507# 


Cisco4507#sh mac address-table dynamic | include 


0060.160a.b5a3 


Cisco4507# 


从 上 面 的 输出 中 可 以 看 出 ， 在 4507 的 ARP 表 和 CAM 表 中 并 没有 包含 
“10.1.1.2” 和 “0060.1601.b5a3” 的 表 项 。 若 是 在 这 两 个 表 中 包含 某 一 参数 的 
话 ， 一 般 会 得 到 和 下 面 格式 一 致 的 输出 结果 : 


Cisco4507#sh arp | include 192.168.2.1 

Protocol Address Age (min) Hardware Addr Type Interface 
Internet 192.168.2.14 0 131d.920d.1a32 ARPA VLAN 2 
Internet 192.168.2.1 0 1613.7868.4a9d ARPA VLAN 2 
Cisco4507#sh mac address-table dynamic | include 1223.8916.1227 
VLAN mac address type protocols port 


200 1223.8916.1227 dynamic ip GigabitEthernet3/1 


同时 在 4507 上 执行 命令 “Cisco4507#ping 10.1.1.2”， 得 到 如 下 输出 结果 : 
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C:\Users\Administrator>ping 10.1.1.2 

正在 Ping 10.1.1.2 具有 32 字 节 的 数据 : 

请 求 超时 。 

请 求 超时 。 

请 求 超时 。 

请 求 超时 。 

10.1.1.2 的 Ping 统 计 信息 : 

数据 包 : 已 发 送 = 4， 已 接收 = 0， 丢失 = 4 (100% 丢失 ) ， 


从 上 面 的 输出 结果 可 以 看 出 ， 在 单位 的 办 公 网 中 ， 并 没有 卫 地 址 是 10.1.1.2 
的 这 个 设备 。 

(3) 因 为 MAC 地 址 具有 唯一 性 ， 并 和 物理 设备 绑 定 在 一 起 ， 而 IP 地 址 并 不 具 
备 这 两 个 特性 ， 所 以 ， 现 在 只 能 通过 MAC 地 址 进行 查找 IP 地 址 10.1.1.2 具 体 是 什 
么 设备 ， 并 确定 它 的 物理 位 置 。 


MAC 地 址 是 识别 局 域 网 节点 的 标识 ， 是 烧 录 在 网 卡 (Network Interface Card， 
NIC) 里 ， 共 48 比 特长 ， 由 12 个 十 六 进 制 的 数字 组 成 ， 其 中 0 一 23 位 为 组 织 唯 一 标 
识 符 ，24 一 47 位 是 由 厂家 自己 分 配 。 网 卡 的 物理 地 址 通常 是 由 网 卡 生产 厂家 烧 入 
网 卡 的 可 擦 写 可 编程 只 读 存储 器 中 ， 它 存储 的 是 传输 数据 时 真正 赖 以 标识 发 出 数 
据 的 电脑 和 接收 数据 的 主机 的 地 址 。MAC 地 址 的 前 6 个 十 六 进 制 的 数字 是 由 IEEE 
进行 分 配 的 。 通 过 IEEE 的 网 站 ， 就 能 查询 到 MAC 地 址 前 6 个 十 六 进 制 的 数字 和 其 
使 用 公司 名 称 的 对 应 关系 。 

因为 现在 知道 了 了 地 址 10.1.1.2 和 其 对 应 的 MAC 地 址 00-60-16-0a-b5-a3。 所 以 
在 一 台 能 访问 互联 网 的 电脑 的 浏览 器 地 址 栏 中 输入 ， 通 过 MAC 地 址 查询 网 卡 生 
产 厂商 的 下 EE 的 网 址 “http://standards.ieee.org/develop/regauth/oui/public.html”， 
打开 后 ， 在 页 面 中 输入 地 址 “00-60-16-0a-b5-a3” 的 前 六 位 ， 然 后 单 击 按钮 
“Search! ”， 如 图 2-16 所 示 。 
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Search the Public OUI/ "company_id' Listing 


search for: 00-60-16 Search! | clearfield 


Download a copy of the OUI Public Listing (Updated daily) 


图 2-16 ”通过 MAC 地 址 查询 公司 名 称 图 示 


单 击 查询 后 ， 会 得 到 如 下 的 显示 结果 : 


Here are the results of your search through the public 


section of the IEEE Standards OUI database report for 00-60-16: 
00-60-16 (hex) CLARIION 
006016 (base 16) CLARIION 
COSLIN DRIVE 
Mail Stop C25 
SOUTHBORO MA 01772 


UNITED STATES 


由 上 面 的 输出 结果 可 以 看 出 ， 人 P 地 址 是 10.1.1.2 的 设备 类 型 是 “CLARIION”， 
它 是 EMC 存 储 产 品 中 的 一 个 系列 产品 ， 属 于 中 端 存 储 产 品 ， 所 以 ， 现 在 就 能 确 
定 10.1.1.12 和 10.1.1.2 两 个 IP 地 址 都 是 应 用 在 存储 设备 上 ， 也 就 能 确定 10.1.1.2 的 
具体 位 置 在 EMC 的 存储 设备 上 。 

(4) 确 定 IP 地 址 的 具体 位 置 。 打 开 EMC 的 机 柜 后 ， 发 现在 其 中 有 一 个 五 端口 
的 交换 机 ， 它 是 EMC 厂 家 自 带 的 ， 五 端口 交换 机 上 的 接口 全 是 电 口 ， 上 面 都 接 
有 网 线 。 如 图 2-17 所 示 ， 是 视频 服务 器 连接 EMC 自 带 交 换 机 的 示意 图 。 

为 了 确认 视频 服务 器 ，10.1.1.12 网 卡 上 的 网 线 是 不 是 接 到 EMC 机 柜 中 的 五 端 


口交 换 机 上 ， 我 们 把 10.1.1.12 网 卡 上 的 网 线 拔 掉 ， 结 果 五 端口 交换 机 上 一 个 端口 
的 指示 灯 就 灭 了 ， 把 网 线 插 上 后 ， 交 换 机 上 那个 端口 的 指示 灯 又 亮 了 。 
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视频 配 
Server 和 


4507 


EMC 存 储 


图 2-17 视频 服务 器 连接 EMC 自 带 交 换 机 图 示 


所 以 ， 现 在 就 能 确定 视频 服务 器 上 IP 地 址 是 10.1.1.12 的 网 卡 是 通过 EMC 的 五 
端口 交换 机 连接 到 EMC 的 存储 设备 上 ，10.1.1.2 就 是 EMC 存 储 设备 上 电 口 的 人 P 地 
址 。10 网 段 中 的 地 址 都 是 用 来 在 视频 服务 器 上 对 EMC 的 存储 设备 进行 远程 操作 
控制 所 使 用 的 。 


明白 了 于 地 址 所 使 用 的 具体 位 置 和 其 功能 后 ， 就 可 以 放心 的 对 视频 服务 器 进 
行 重 装 系统 和 应 用 软件 的 升级 了 。 如 图 2-18 所 示 ， 是 EMC 机 柜 图 。 


图 2-18 EMC 机 柜 图 示 
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3. 总结 


(1) 由 以 上 解决 问题 的 步骤 ， 可 以 看 出 ， 在 视频 服务 器 上 共 连 接 有 3 根 网 络 数 
据 线 。 第 1 根 是 双 绞 线 ， 通 过 IP 地 址 是 192.168.11.8 的 网 卡 连接 到 核心 交换 机 4507 
上 。 这 根 网 线 的 主要 作用 是 让 单位 办 公 网 络 中 的 客户 端 能 通过 4507 核 心 交换 机 访 
问 到 视频 服务 器 上 的 资源 。 第 2 根 是 光纤 ， 通 过 视频 服务 器 的 HBA 卡 ， 连 接 到 存 
储 区 域 网 络 (Storage Area Network， SAN) 中 的 光纤 交换 机 上 ， 再 通过 光纤 交换 机 
连接 到 EMC 的 存储 设备 上 。 这 根 光 纤 的 主要 作用 是 对 视频 服务 器 上 数据 库 中 的 
数据 进行 存储 、 备 份 ， 通 过 光纤 传输 数据 也 能 够 大 大 提高 数据 传输 的 速率 。 第 
3 根 也 是 双 绞 线 ， 通 过 IP 地 址 是 10.1.1.12 的 网 卡 连接 到 EMC 自 带 的 五 端口 交换 机 
上 ， 这 根 网 线 的 主要 作用 是 在 视频 服务 器 上 通过 WEB 管 理 控制 界面 对 EMC 存 储 
设备 进行 管理 和 配置 。 


(2)MAC 地 址 具有 全 球 唯一 性 ， 利 用 这 种 特性 往往 能 给 排查 网 络 故障 带 来 很 
大 的 便利 性 。 因 为 MAC 地 址 和 设备 是 绑 定 在 一 起 的 ， 只 要 做 好 了 MAC 地 址 和 具 
体 设备 对 应 关系 的 维护 登记 工作 ， 那 只 要 知道 了 MAC 地 址 ， 就 能 找到 MAC 地 址 
对 应 的 设备 在 哪里 。 


而 IP 地 址 并 不 具有 这 种 特性 ，IP 地 址 更 多 的 是 一 种 逻辑 上 的 地 址 ， 通 常情 况 
下 IP 地 址 和 具体 的 设备 并 不 是 一 一 对 应 的 ， 尤 其 是 使 用 了 DHCP 和 NAT 技 术 后 ， 
IP 地 址 和 设备 之 间 并 没有 什么 关系 。 使 用 DHCP 技 术 后 ， 客 户 端 和 服务 器 获取 
到 的 了 P 地 址 都 是 动态 和 变化 的 ， 今 天 使 用 的 是 A 地 址 ， 明 天 可 能 就 使 用 的 是 B 地 
址 。 而 NAT 技 术 的 变化 更 大 ， 如 局 域 网 中 的 用 户 使 用 NAT 技 术 和 互联 网 上 的 用 户 
进行 通信 ， 互 联网 上 的 用 户 看 到 局 域 网 中 用 户 使 用 的 IP 地 址 ， 实 际 上 并 不 是 他 
的 实际 JP 地 址 ， 所 以 这 时 要 把 IP 地 址 与 具体 的 设备 或 用 户 联系 起 来 ， 是 非常 困 
难 的 。 


使 用 PP 地址 的 这 种 不 确定 性 ， 在 随 着 以 后 IPv6 使 用 范围 的 不 断 推广 ， 就 会 有 
很 大 的 改观 。 因 为 IPv6 地 址 数量 的 庞大 ， 按 保守 方法 估算 ，IPv6 实 际 可 分 配 的 地 
址 ， 在 整个 地 球 每 平方 米面 积 上 可 分 配 1000 多 个 地 址 ， 号 称 能 让 “每 颗 沙子 都 拥 
有 一 个 IP 地 址 ”。 既 然 IPV6 有 这 么 多 的 地 址 ， 能 保证 每 一 个 Intemet 上 的 终端 使 用 
的 都 是 全 球 唯一 耳 地 址 ， 所 以 当 IPv6 地 址 在 全 球 普及 的 时 候 ， 也 就 保证 了 每 一 个 
JPv6 地 址 能 与 具体 的 设备 和 用 户 对 应 起 来 ， 这 对 网 络 安全 和 网 络 维护 工作 将 带 来 
很 大 便利 。 
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(3) 其 实 这 次 网 络 问题 的 排查 ， 若 是 以 前 在 维护 和 配置 视频 服务 器 时 能 够 按 
照 规定 ， 对 操作 规程 进行 严格 的 登记 和 记录 ， 这 样 在 解决 上 面 的 问题 时 ， 只 要 看 
下 记录 本 ， 所 有 的 东西 者 一目 了 然 了 。 也 就 大 大 节省 了 网 络 维护 人 员 的 时 间 和 精 
力 ， 提 高 了 工作 效率 。 看 来 注重 点 滴 和 基础 工作 ， 对 网 络 维护 、 管 理工 作 也 是 必 
不 可 少 的 。 


2.5 运 维 实例 : 交换 机 虚拟 接口 应 用 


目前 ， 三 层 交 换 机 已 在 企业 网 络 中 普遍 应 用 。 在 本 质 上 三 层 交 换 机 实际 上 
就 是 具有 路 由 功能 的 二 层 交 换 机。 路 由 是 属于 第 三 层 的 功能 ， 所 以 带 有 路 由 功 
能 的 交换 机 就 被 称 为 三 层 交 换 机 。 而 在 三 层 交 换 机 中 跨 VLAN 间 路 由 ， 就 要 使 用 
SVI(Switch Virtual Interface， 交 换 机 虚拟 接口 )，SVI 的 作用 就 是 用 于 各 个 VLAN 
间 转 发 数据 的 接口 。 与 传统 的 路 由 器 相 比 ， 它 可 以 实现 高 速 的 路 由 。 


下 面 就 通过 3 则 实例 ， 每 一 则 实例 中 都 包括 一 副 拓扑 图 。3 幅 拓扑 图 所 要 实现 
的 功能 是 一 样 的 ， 都 是 为 了 让 位 于 不 同 VLAN 中 的 PC1 和 PC2 之 间 能 互相 通信 。 
但 是 3 幅 拓 扑 图 中 设备 的 配置 命令 是 不 一 样 的 。 通 过 3 种 不 同 的 配置 命令 ， 而 实现 
相同 的 功能 ， 从 而 达到 深刻 理解 SVI 的 功能 和 原理 。 


1. 实例 一 


如 图 2-19 所 示 ， 图 中 左边 部 分 共 使 用 了 3 台 交 换 机 和 两 台 PC。PC1 和 PC2 的 
IP 地 址 分 别 配置 为 172.16.2.1/24 和 172.16.3.1/24， 其 中 在 3 台 交 换 机 上 都 要 创建 二 
层 的 VLAN 2 和 VLAN 3， 并 且 把 PC1 划 入 到 VLAN 2，PC2 划 入 到 VLAN 3。 在 
Cisco2960 上 ， 把 F0/2 和 F0/12 划 入 到 VLAN 2， 把 F0/3 和 F0/13 划 入 到 VLAN 3。 在 
Cisco3750 上 ， 把 G1/0/2 划 入 到 VLAN 2， 把 G1/0/3 划 入 到 VLAN 3。 这 样 配置 后 就 
能 保证 PC1、Cisco2960 的 F0/2、F0/12 和 Cisco3750 的 G1/0/2 都 位 于 VLAN 2 中 ， 同 
样 PC2、Cisco2960 的 F0/3、F0/13 和 Cisco3750 的 G1/0/3 就 都 位 于 VLAN 3 中 。 
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图 2-19 ”利用 SVI 接 口 实现 VLAN 间 路 由 


在 同一 个 VLAN 中 的 设备 相互 间 可 以 直接 通信 ， 但 是 若 要 在 不 同 的 VLAN 间 
通信 ， 一 般 的 情况 下 就 要 借助 路 由 设备 。 不 过 ， 若 是 有 三 层 交 换 机 ， 就 可 以 利用 
三 层 交换 机 的 SVI 接 口 ， 实 现 不 同 VLAN 之 间 的 通信 。 这 里 就 应 用 了 Cisco3750 上 
的 SVI 接 口 ， 它 们 的 作用 就 是 充当 二 层 VLAN 2 和 VLAN 3 对 外 收发 数据 的 三 层 接 
口 。 图 2-19 的 右边 部 分 ， 相 当 于 左边 部 分 的 原理 图 ， 二 者 是 等 效 的 。 通 过 右边 部 
分 的 图 示 ， 能 够 更 深刻 地 理解 SVI 的 运行 原理 。 下 面 是 在 Cisco3750 上 创建 SVI 接 
口 的 配置 命令 : 


Cisco3750 (config)#int vlan 2 

Cisco3750 (config-if)#ip address 172.16.2.254 255.255.255.0 
Cisco3750 (config-if)#no shutdown 

Cisco3750 (config-if)#int VLAN 3 

Cisco3750 (config-if)#ip address 172.16.3.254 255.255.255.0 


Cisco3750 (config-if)#no shutdown 
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创建 完 SVI 接 口 后 ， 


TEL 


172.16.2.254 和 172.16.3.254 就 分 别 作为 二 层 


VLAN 2 和 VLAN 3 的 默认 网 关 。 其 中 在 Cisco3750 上 还 有 很 重要 的 一 条 命令 


“Cisco3750(config)#ip routing” 


必须 进行 配置 ， 它 的 作用 是 启用 3750 的 路 由 功 
能 ， 和 否则 三 层 交 换 机 只 能 使 用 其 二 层 交 换 功 能 ， 


这 样 位 于 不 同 子 网 的 PC1 和 PC2 


相互 间 肯 定 就 不 能 通信 了 。 在 Cisco3750 上 配置 完成 后 ，PC1 就 能 ping 通 PC2 了 ， 
如 图 2-20 所 示 ， 是 在 PC1 上 所 做 的 ping 测 试 。 


kc:\UsersNAdministrator>ping 172. 16. 3.1 


.1 的 回复 : 字 节 =32 时 间 =4ms TTL=255 
来 自 172. 16. 3. 1 的 回复 : 字 节 =32 时 间 =lms TTL=255 
来 自 172. 16. 3.1 的 回复 : 字 节 =32 时 间 =3ms TTL=255 
来 自 172. 16. 3. 1 的 回复 : 字 节 =32 时 间 =2ms TTL=255 


3. 

3. 

3. 
172. 16. 3.1 的 Ping 统计 信 
的 交 要 和 全 训 必 - 4， 丢失 = 0 (ok 丢失 )， 
往返 行程 的 估计 时 间 ( 以 毫秒 为 单位 ) : 


最 短 = lms， 最 长 = 4ms, 平均 = 2ms 
图 2-20 PC1 能 ping 通 PC2 


SVI 接 口 是 在 三 层 交 换 机 的 全 局 配置 模式 下 ， 使 用 命令 “interface VLAN”， 
后 面 键 入 具体 的 VLAN ID 时 创建 的 。 当 需要 路 由 虚拟 局 域 网 之 间 的 数据 ， 就 要 为 
相应 的 虚拟 局 域 网 配置 相应 的 SVI 接 口 ， 通 常 也 把 这 种 接口 称 为 逻辑 三 层 接口 ， 
也 就 是 三 层 接口 。 可 以 用 “no interface VLAN VLAN id” 全 局 配置 命令 来 删除 对 


应 的 SVI 接 口 。 只 是 不 能 删除 VLAN 1 的 SVI 接 口 ， 因 为 VLAN 1 接口 是 默认 已 创 
建 的 ， 用 于 管理 远程 交换 机 。SVI 是 联系 二 层 VLAN 的 IP 接 口 ， 一 个 SVI 只 能 
和 一 个 VLAN 相 联系 。 

2. 实例 二 


实例 二 与 实例 一 不 同 的 地 方 ， 就 是 使 用 了 路 由 器 Cisco2811 代 替 Cisco3750， 
这 种 架构 就 是 通常 情况 下 借助 路 由 器 实现 不 同 VLAN 间 的 通信 。 其 中 在 
Cisco2960 上 和 实例 一 中 有 变化 的 地 方 ， 就 是 把 F0/1 配 置 成 了 Trunk 口 ， 命 令 为 
“Cisco2960(config-if)#switchport mode trunk”， 这 样 配置 后 ， 就 允许 VLAN 2 和 
VLAN 3 的 数据 通过 F0/1 到 达 路 由 器 Cisco2811 的 F0/0 接 口 。 另 外 ， 在 Cisco2811 的 
F0/0 上 也 要 配置 两 个 子 接口 ， 命 令 如 下 : 
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Cisco2811 (config)#int fa0/0 

Cisco2811 (config-if)#no ip address 

Cisco2811 (config)#int fa0/0.2 

Cisco2811 (config-subif)#encapsulation dotlq 2 

Cisco2811 (config-subif)#ip address 172.16.2.254 255.255.255.0 
Cisco2811 (config)#int fa0/0.3 

Cisco2811 (config-subif)#encapsulation dotlq 3 


Cisco2811 (config-subif)#ip address 172.16.3.254 255.255.255.0 


命令 配置 完成 后 ， 同 样 可 以 实现 PC1 和 PC2 之 间 的 通信 。 和 实例 一 相 比 ， 
只 是 在 Cisco02960 上 ， 用 Trunk 口 F011 代替 了 实例 一 中 的 F0/2 和 F0/3。 在 Cisco2811 
上 用 F0/0.2 代 替 了 Cisco3750 上 的 SVI-1， 也 就 是 用 命令 “Cisco3750(config)#int 
VLAN 2” 创 建 的 三 层 虚 拟 接口 。 用 F0/0.3 代 替 了 3750 上 的 SVI2 接 口 。Cisco2811 
通过 在 F0/0.2 和 F0/0.3 之 间 路 由 数据 ， 最 终 实 现 了 二 层 VLAN 2 和 VLAN 3 之 间 的 
通信 ， 如 图 2-21 所 示 。 


Cisco2811 


Cisco2960 


PC1 PC2 
图 2-21 利用 路 由 器 子 接口 实现 VLAN 间 路 由 
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3. 实例 三 


实例 三 与 实例 一 中 使 用 的 设备 完全 一 样 ， 只 是 配置 命令 有 所 区 别 。G1/0/2 和 
G1/0/3 不 再 是 二 层 接 口 ， 它 们 已 具有 三 层 功能 ， 并 配置 了 IP 地 址 。 这 两 个 端口 的 
作用 就 相当 于 实例 一 中 的 SVI-1 和 SVI-2 的 作用 ， 也 和 实例 二 中 的 Cisco2811 上 的 
FE0/0.2、F0/0.3 作 用 是 一 样 的， 都 是 为 转发 二 层 VLAN 2 和 VLAN 3 中 的 数据 提供 
了 一 个 三 层 的 出 入 接口 ， 如 图 2-22 所 示 。 实 例 三 中 与 实例 一 中 的 Cisco2960 的 配 
置 完全 一 样 ， 变 化 的 只 是 Cisco3750 上 的 配置 ， 如 下 所 示 : 


Cisco3750 (config)#int g1/0/2 

Cisco3750 (config-if)#no switchport 

Cisco3750 (config-if)#ip address 172.16.2.254 255.255.255.0 
Cisco3750 (config-if)#int g1/0/3 

Cisco3750 (config-if)#no switchport 


Cisco3750 (config-if)#ip address 172.16.3.254 255.255.255.0 


Cisco3750 


Cisco2960 


PC1 PC2 
图 2-22 ”利用 交换 机 三 层 端口 实现 VLAN 间 路 由 
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注意 : 必须 在 两 个 接口 上 配置 no switchport 命 令 ， 否 则 两 个 端口 只 能 作 
为 二 层 端口 使 用 ， 也 就 不 能 配置 了 地址 。 同 样 ， 在 Cisco3750 上 也 必须 配置 
“Cisco3750(config)#ip routing” 命 令 。 在 这 种 通信 模式 中 ， 三 层 交 换 机 3750 实 际 
上 就 相当 于 一 台 路 由 器 ， 使 用 命令 show ip route， 可 以 查看 路 由 表 中 的 内 容 ， 如 
下 所 示 : 


Cisco3750#show ip route 

Gateway of last resort is not set 

172.16.0.0/24 is subnetted, 2 subnets 

C 172.16.3.0 is directly connected, GigabitEthernet1/0/3 


C 172.16.2.0 is directly connected, GigabitEthernet1/0/2 


4. 总 结 


(1) 通 过 上 面 在 功能 上 相互 等 效 的 3 个 实例 ， 可 以 看 出 SVI 的 本 质 ， 就 是 内 置 
在 三 层 交 换 机 中 的 一 个 三 层 接口 ， 和 一 般 的 三 层 接口 在 功能 上 是 完全 一 样 的 。 它 
们 可 以 作为 交换 机 的 管理 接口 ， 管 理 员 可 以 远程 管理 该 交换 机 。 也 可 以 作为 网 关 
接口 ， 用 于 三 层 交 换 机 跨 VLAN 间 路 由 。 


(2) 目 前 ， 使 用 路 由 器 在 VLAN 之 间 路 由 数据 的 网 路 架构 越 来 越 少 。 随 着 
VLAN 之 间 流 量 的 不 断 增加 ， 因 为 路 由 器 是 基于 软件 处 理 的 ， 即 使 它 能 以 线 速度 
接收 到 数据 包 ， 也 无 法 在 不 限 速 的 条 件 下 把 数据 包 都 转发 出 去 ， 因 此 路 由 器 在 路 
由 不 同 VLAN 间 的 数据 时 ， 经 常会 成 为 整个 网 络 的 瓶颈 。 而 三 层 交 换 机 使 用 专用 
硬件 芯片 处 理 数 据 帧 的 交换 操作 ， 利 用 SVI 接 口 ， 快 速 实现 数据 帧 的 交换 ， 所 以 
它 已 在 中 型 和 大 型 的 企业 网 络 中 得 到 了 普遍 应 用 。 


第 2 章 网络 二 层 协议 1121 


2.6 ” 运 维 实例 : 网 络 中 主机 问 $ 种 简单 通信 模式 


目前 ， 现 实 中 的 计算 机 网 络 错综复杂 ， 令 人 眼花 练 乱 。 但 从 本 质 上 来 说 ， 这 
些 网 络 无 非 是 实现 终端 间 的 互相 通信 ， 终 端 上 都 配置 有 IP 地 址 和 MAC 地 址 。 下 
面 就 以 5 种 通信 模式 ， 对 目前 经 常 使 用 的 计算 机 网 络 进行 归纳 总 结 ， 以 便 网 络 技 
术 人 员 再 遇 到 复杂 的 网 络 时 ， 能 很 快 明白 其 运行 的 机 制 和 原理 。 


1. 通过 网 线 直接 互 连 两 台 主 机 间 的 通信 模式 


这 种 通信 方式 ， 大 部 分 人 都 实验 过 ， 也 比较 简单 。PC_A 和 PC_B 的 人 P 地 址 分 
别 配置 为 10.1.1.2/24 和 10.1.1.3/24， 两 台 主 机 在 同一 个 子 网 中 ， 如 图 2-23 所 示 。 相 
互通 信 前 ， 主 机 利用 ARP 协 议 ， 知 道 了 对 方 的 MAC 地 址 ， 才 能 进行 二 层 通 信 。 
需要 注意 的 是 ， 连 接 两 台电 脑 的 网 线 是 交叉 线 ， 一 端 是 T568A， 一 端 是 T568B。 
不 能 使 用 直通 线 ， 否 则 ， 两 台电 脑 无 法 通信 。 


2 “0 


PCA PC_B 
10.1.1.2 10.1.1.3 


图 2-23 两 台 主机 通过 网 线 通信 
2. 同一 VLAN 中 主机 间 的 通信 
这 种 通信 模式 中 使 用 了 一 台 Cisco3750 三 层 交 换 机 ， 但 通信 过 程 中 只 使 用 了 
它 的 二 层 功能 ， 没 有 启用 三 层 路 由 功能 。 这 种 模式 虽然 简单 ， 但 使 用 却 非常 普 
遍 ， 基 本 上 在 所 有 的 计算 机 网 络 中 都 会 使 用 到 。PC_A 和 PC _B 的 IP 地 址 分 别 配 置 
为 10.1.1.2/24 和 10.1.1.3/24， 如 图 2-24 所 示 。 在 Cisco3750 上 首先 要 创建 VLAN 2， 
命令 如 下 : 


Cisco3750#VLAN database 


Cisco3750 (VLAN) #VLAN 2 
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VLAN 2 added: 


Name: VLAN0002 


Cisco3750 


Gil0/2 Gil/0/3 


PCA PC_B 
图 2-24 两 台 主机 在 同一 VLAN 中 通信 


最 终 Cisco3750 的 配置 如 下 所 示 : 


hostname Cisco3750 

! 

interface GigabitEthernet1/0/2 
switchport access VLAN 2 


switchport mode access 


interface GigabitEthernet1/0/3 
switchport access VLAN 2 


switchport mode access 
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因为 两 台 主机 都 位 于 VLAN 2 中 ， 它 们 也 就 在 同一 个 子 网 10.1.1.0/24 中 。 在 这 
种 模式 中 ，PC_A 和 PC _B 的 通信 是 在 二 层 进行 的 ， 也 就 是 通过 MAC 地 址 通信 。 
3. 不 同 VLAN 中 的 主机 通过 SVI 接 口 通信 


Cisco 三 层 交 换 机 SVI(Switch Virtual Interface， 交 换 机 虚拟 接口 ) 是 在 三 层 交 
换 机 的 全 局 配置 模式 下 使 用 “interface VLAN” 命 令 ， 后 面 键入 具体 的 VLAN ID 
时 创建 的 。 当 需要 路 由 虚拟 局 域 网 之 间 的 流量 ， 就 要 为 相应 的 虚拟 局 域 网 配置 相 
应 的 SVI 接 口 ， 通 常 也 把 这 种 接口 称 为 逻辑 三 层 接口 ， 也 就 是 三 层 接 口 。 可 以 用 
“no interface VLAN VLAN id” 全 局 配置 命令 来 删除 对 应 的 SVI 接 口 ， 只 是 不 能 
删除 VLAN 1 的 SVI 接 口 ， 因 为 VLAN 1 接口 是 默认 已 创建 的 ， 用 于 管理 远程 交换 
机 。SVI 是 联系 二 层 VLAN 的 IP 接 口 ， 一 个 SVI 只 能 和 一 个 VLAN 相 联系 。 


在 这 种 通信 模式 中 ，PC_A 和 PC_B 的 IP 地 址 分 别 配置 为 10.2.2.2/24 和 
10.3.3.3/24， 并 且 分 别 位 于 3750 的 VLAN 2 和 VLAN 3 中 ， 网 络 结构 图 和 图 2-24 一 
样 ， 只 是 主机 的 IP 地 址 和 3750 的 配置 有 所 变化 。 同 时 在 3750 上 也 要 创建 VLAN 2 
和 VLAN 3 的 SVI 接 口 ， 命 令 如 下 : 


Cisco3750 (config)#int VLAN 2 

Cisco3750(conftg-1f)tip address 1062.25254 255255255a0 
Cisco3750 (config-if)#no shutdown 

Cisco3750 (config-if)#int VLAN 3 

Cisco3750 (config-if)#ip address 10.3.3.254 255.255.255.0 


Cisco3750 (config-if)#no shutdown 


配置 IP 地 址 后 ，10.2.2.254 和 10.3.3.254 就 分 别 作为 VLAN 2 和 VLAN 3 的 默认 
网 关 。3750 上 最 终 的 配置 如 下 所 示 : 


hostname Cisco3750 
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ip routing 


! 
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interface GigabitEthernet1/0/2 


switchport access VLAN 2 


switchport mode access 


1 


interface GigabitEthernet1/0/3 


Switchport access VLAN 3 
Switchport mode access 
1 


interface VLAN 2 


LPMaddress L102 22 255 27 


! 


interface VLAN 3 


1p address. 10°3-3-254 :255:255.255.0 


其 中 “ip routing” 命 令 是 启用 3750 的 路 由 功能 ， 否 则 三 
二 层 交 换 功 能 ， 这 样 位 于 不 同 子 网 的 PC . 
如 图 2-25 所 示 是 在 PC_A 上 所 做 的 ping 测 试 。 


配置 完成 后 ，PC_A 就 能 ping 通 PC _B， 


层 交 换 机 只 能 使 用 其 
A 和 PC B 相 互 间 就 不 能 通信 了 。 在 3750 上 


C:\Users\Administrator>ping 10.3.3.3 
是 Ping 10. 3. 3.3 具有 32 字 节 的 数据 : 


自 10. 3. 3.3 的 回复 : 字 节 =32 时 间 <lms TTL=127 
来 自 和 3.3.3 的 回复 : 字 节 =32 时 间 <lms TTL=127 
来 自 10. 3. 3. 3 的 回复 : 字 节 =32 时 间 <lms TTL=127 
来 自 10. 3. 3.3 的 回复 : 字 节 =32 时 间 <lms TTL=127 


10. 3. 3.3 的 Ping 统计 信息 : 


送 = 4， 已 接收 = 4， 丢失 = 0 (0% 丢失 ) 


数据 包 : 已 发 
往返 行程 的 估计 时 间 (以 毫秒 为 单位 ) : 
最 短 = 0ms， 最 长 = 0ms， 平均 = 0ms 


图 2-25 在 PC A 上 ping 主 机 PC _B 
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4. 通过 交换 机 三 层 端口 实现 主机 间 通 信 

在 这 种 通信 模式 中 ，PC_A 和 PC B 的 耳 地 址 还 是 10.2.2.2/24 和 10.3.3.3/24， 网 
络 结构 图 和 图 2-24 一 样 ， 变 化 的 是 3750 上 的 配置 ， 其 中 要 关闭 G1/0/2 和 G1/0/3 两 
个 端口 的 交换 功能 ， 关 闭 交 换 功能 的 同时 也 就 启用 了 这 两 个 端口 的 路 由 功能 。 配 
置 的 命令 如 下 所 示 : 


Cisco3750 (config)#int g1/0/2 

Cisco3750 (config-if)#no switchport // 关 闭 端口 的 交换 功能 
Cisco3750 (config-if)#ip address 10.2.2.254 255.255.255.0 
Cisco3750 (config-if)#no shutdown 

Cisco3750 (config-if)#int g1/0/3 

Cisco3750 (config-if)#no switchport // 关 闭 端 口 的 交换 功能 
Cisco3750'(config=if)#ip address 10.3.3.254 255.255.255.0 


Cisco3750 (config-if)#no shutdown 


注意 ， 必 须 配置 no switchport 命 令 ， 否 则 下 面 的 耳 地 址 命令 是 无 法 配置 的 。 
最 终 3750 上 的 配置 如 下 所 示 : 


hostname Cisco3750 

! 

ip routing 

! 

interface GigabitEthernet1/0/2 
no switchport 


a address T0225294 RS ZW 


126 | 网 络 运 维 亲历 记 


! 
interface GigabitEthernet1/0/3 
no switchport 


ip address 10.3.3.254 "255-255-.255=0 


这 种 通信 模式 中 ， 三 层 交 换 机 3750 实 际 上 就 相当 于 一 台 路 由 器 ， 使 用 命令 
“show ip route” 就 可 以 查看 路 由 表 中 的 内 容 ， 如 下 所 示 : 


Cisco3750#show ip route 

Gateway of last resort is not set 

10.0.0.0/24 is subnetted, 2 subnets 

C 10.3.3.0 is directly connected, GigabitEthernet1/0/3 


C 10.2.2.0 is directly connected, GigabitEthernet1/0/2 


5. 通过 SVI 接 口 和 三 层 口 实现 主机 间 通 信 

这 种 通信 模式 其 实 就 是 上 面 第 2 种 和 第 3 种 两 种 通信 模式 的 结合 。 把 PC_A 划 
到 VLAN 2 中 ， 交 换 机 G1/0/2 端 口 配置 为 二 层 端 口 ， 并 且 把 PC_A 的 默认 网 关 指 向 
VLAN 2 的 SVI 接 口 地 址 10.2.2.254/24。PC_B 连 接 的 3750 的 端口 G1/0/3 还 是 三 层 
口 ， 其 人 P 地 址 为 10.3.3.254/24， 如 图 2-26 所 示 。 


Cisco3750 


PCA 2 A PCB 
10.2.2.2 一 10.3.3.3 


图 2-26 ”通过 SVI 接 口 和 三 层 口 实现 通信 
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最 终 3750 上 的 配置 如 下 所 示 : 


hostname Cisco3750 

! 

ip routing 

! 

interface GigabitEthernet1/0/2 
switchport access VLAN 2 
switchport mode access 

! 

interface GigabitEthernet1/0/3 


no switchport 


ip address 10.3:3.254 2558255255.0 


interface VLAN 2 


ip address 10%252-254 2555255.255-0 


6. 总 结 


TY27 


通过 对 照 以 上 5 种 通信 模式 ， 首 先 ， 能 看 出 三 层 交 换 机 SVI 接 口 的 作用 ， 它 


其 实 就 相当 于 一 个 路 由 口 。 第 2 种 通信 模式 中 的 interface VLAN 2 接口 和 第 4 种 通 
信和 模式 中 的 G1/0/2 接 口 的 作用 和 运行 原理 是 一 样 的 ， 这 在 第 5 种 通信 模式 中 就 得 
到 了 验证 。 其 次 ， 上 面 5 种 通信 模式 ， 后 3 种 可 以 划 为 一 类 ， 它 们 都 是 使 用 下 地 址 
通信 ， 属 于 三 层 通 信 ， 而 前 两 种 通信 模式 中 的 数据 传输 使 用 的 是 MAC 地 址 ， 属 


于 二 层 通 信 。 
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从 事 网 络 运 维 工作 ， 离 不 开 大 量 的 实践 工作 。 若 要 运用 从 书本 上 学 到 的 理论 
知识 ， 去 解决 现实 运 维 中 碰 到 的 实际 问题 ， 往 往 会 有 很 大 的 偏差 。 一 个 高 水 平 的 
网 络 运 维 工程 师 肯 定 是 建立 在 大 量 实践 工作 基础 之 上 的 ， 而 网 络 运 维 的 技巧 就 是 
在 这 些 大 量 的 实际 工作 中 慢 慢 总 结 和 摸索 出 来 的 。 


比如 在 一 个 小 型 企业 中 ， 所 有 的 公司 员工 都 要 共同 使 用 一 套 OA 办 公 应 用 系 
统 ， 理 所 当然 ， 此 系统 安装 在 局 域 网 中 的 一 台 服 务 器 上 最 为 妥当 ，OA 服 务 器 和 
员工 的 办 公 电 脑 就 都 位 于 同一 个 VLAN 中 ， 用 户 只 需要 在 浏览 器 的 地 址 栏 中 输入 
OA 应 用 系统 服务 器 的 他 地 址 ， 例 如 209.12.56.78， 就 可 访问 OA 系统 了 ， 但 这 时 就 
会 遇 到 一 个 问题 ， 让 用 户 记 忆 枯 燥 的 人 P 地 址 ， 不 但 不 易 记 ， 且 易 出 错 ， 那 这 时 使 
用 域名 就 是 最 好 的 解决 办 法 ， 比 如 说 可 以 用 www.oa.com 代 替 那 烦人 、 难 记 的 卫 
地 址 。 但 为 一 个 局 域 网 的 用 户 分 配 和 购买 一 个 域名 ， 就 有 些小 题 大 做 了 。 


这 时 配置 、 修 改 用 户 的 Hosts 文 件 就 是 最 好 的 方式 ， 只 需 在 每 位 用 户 的 Hosts 
中 ， 添 置 项 目 “209.12.56.78 www.oa.com” 即 可 。 这 时 对 网 络 运 维 人 员 来 说 ， 在 
每 个 用 户 的 电脑 上 添加 可 能 也 很 费事 ， 网 络 运 维 工程 师 可 以 制作 一 个 BAT 的 可 执 
行文 件 ， 用 QQ 或 其 他 即时 通讯 工具 群发 给 所 有 用 户 ， 然 后 让 用 户 在 各 自 的 电脑 
上 执行 此 BAI 文 件 即 可 。 这 样 用 户 访问 OA 系统 时 ， 肯 定 都 能 记 住 此 地 址 了 。 


这 里 再 列举 一 个 例子 ， 作 为 网 络 运 维 师 ， 测 试 网 络 的 连通 性 那 是 常 有 的 事 ， 
最 常见 的 情形 就 是 工程 师 拿 着 一 个 笔记 本 电脑 ， 跑 到 东 把 一 根 网 线 的 接头 插入 到 
笔记 本 的 网 口上 ， 然 后 在 键盘 上 邦 、 帮 、 厨 ……， 敲 入 一 连 串 的 参数 ， 过 一 会 又 
跑 到 西 ， 再 重复 刚才 相同 的 动作 ， 这 就 是 一 个 外 行人 眼中 一 个 网 络 运 维 人 员 最 常 
见 的 情形 。 

但 是 工程 师 在 做 上 面 的 事情 时 ， 重 复 率 最 高 的 一 件 事 就 是 配置 笔记 本 网 卡 的 
网 络 参 数 ， 每 次 都 要 重新 配置 网 卡 的 了 地址、 子 网 掩 码 和 默认 网 关 地 址 及 DNS 地 
址 。 看 似 简单 的 一 件 事 ， 但 若 要 多 次 重复 的 话 ， 也 是 很 费时 费力 的 。 提 高 生产 效 
率 ， 往 往 是 在 做 多 次 重复 性 的 低 效率 的 事情 后 慢 慢 总 结 、 归 纳 出 来 的 。 所 以 ， 解 
决 上 面 的 问题 ， 最 高 效 的 办 法 就 是 使 用 BAT 可 执行 文件 ， 欲 知 解决 办 法 的 详细 内 
容 ， 请 看 官 阅览 本 章 3.2 节 内 容 。 


第 3 章 ”网 络 运 维 技巧 1131 


3.1 运 维 实例 : 巧妙 利用 HOSTS 文 件 奉 代 DNS 
域名 解析 


网 络 结构 图 如 图 3-1 所 示 。 为 了 确保 重要 设备 的 稳定 性 和 宛 余 性 ， 核 心 层 交 
换 机 使 用 两 台 Cisco6506-E， 通 过 Trunk 线 连接 。 在 分 布 层 使 用 了 多 台 Cisco3750-E 
交换 机 ， 图 示 为 了 简洁 ， 只 画 出 了 两 台 。 在 核心 交换 机 上 连接 有 单位 重要 的 服 
务 器 ， 如 FTP、DHCP、E-MAIL 服 务 器 和 DNS 服务 器 等 。 单 位 了 地 址 的 部 署 ， 
使 用 的 是 C 类 私有 192 网 段 的 地 址 。 其 中 ，FTP 服 务 器 的 IP 地 址 为 192.168.2.8。 
Cisco6506-E 和 Cisco3750-E 之 间 也 是 Trunk 连 接 。 


-] E2 一 
FTP 6506-E1 6506-| DHCP 四 
< 


图 3-1 网 络 结构 图 


公司 根据 部 门 性 质 的 不 同 ， 把 它们 划 入 到 不 同 的 VLAN 中 。 服 务 器 都 
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位 于 VLAN 2~VLAN 10 中 ， 对 应 的 网 络 号 是 192.168.2.0 一 192.168.10.0， 
如 FTP 服 务 器 位 于 VLAN 2 中 。 服 务 器 的 JP 地址 、 默 认 网 关 和 DNS 都 是 静 
态 配置 的 。VLAN 11~VLAN 200 是 属于 各 个 部 门 使 用 ， 对 应 的 网 络 号 是 
192.168.11.0 一 192.168.200.0。VLAN 号 和 网 络 号 之 间 都 是 对 应 的 。VLAN 中 的 
PC 通过 Cisco3750-E 接 入 到 核心 交换 机 ，3750-E 都 是 二 层 配置 ， 三 层 的 配置 都 在 
Cisco6506-E 上 ， 也 就 是 VLAN 间 的 路 由 都 是 通过 6506-E 完 成 的 。PC 的 卫 地 址 、 默 
认 网 关 和 DNS 都 是 自动 从 DHCP 服 务 器 上 获得 的 ， 不 用 手工 静态 配置 。 


1. 单位 FTP 应 用 需求 变化 


如 图 3-2 所 示 ， 在 核心 交换 机 Cisco6506-E2 上 连接 有 一 台 “ 用 户 PC”， 它 是 
放 在 服务 器 区 中 的 唯一 一 台 PC， 主 要 是 为 了 方便 用 户 从 FTP 服 务 器 上 下 载 和 拷贝 
文件 。FTP 服 务 器 的 计算 机 名 称 为 “ftpserver”。 用 户 PC 和 服务 器 都 位 于 VLAN 
2 中 ， 因 为 安全 方面 的 要 求 ， 在 单位 的 DNS 服 务 器 上 没有 配置 FTP 服 务 器 IP 地 址 
192.168.2.8 对 应 的 域名 。 也 就 是 访问 FTP 服 务 器 只 能 通过 在 “用 户 PC” 的 浏览 
器 的 地 址 栏 中 输入 “ftp://192.168.2.8”， 或 者 输入 FTP 服 务 器 的 主机 名 称 “ftp:// 
ftpserver”， 就 都 可 以 访问 到 FTP 服 务 器 上 的 资源 。 


6506-E1 6506-E2 月 户 PC 


es FTP 和 用 户 PC es 
MSs 都 位 于 VLAN 2 a 


图 3-2 用户 PC 和 FTP 位 于 同一 VLAN 


但 是 ， 随 着 用 户 业 务 需 求 的 变化 ， 访 问 FTP 服 务 器 的 用 户 都 迁移 到 了 VLAN 
102 中 ， 原 来 位 于 VLAN 2 中 的 “用 户 PC” 被 取消 掉 了 。 目 前 ，VLAN 102 中 的 PC 
有 一 百 多 台 ， 在 图 3-3 中 为 了 图 示 的 简洁 只 画 出 了 一 台 。 现 在 VLAN 102 中 的 用 户 
要 访问 FTP 服 务 器 ， 只 能 在 PC 浏览 器 的 地 址 栏 中 输入 “ftp://192.168.2.8” 才 能 访 
问 ， 而 用 “ftp://ftpserver” 则 不 能 访问 。 因 为 ，VLAN 102 中 的 用 户 数 比较 多 ， 让 
他 们 都 记 住 192.168.2.8 的 数字 JP 地址 不 是 很 方便 ， 也 容易 忘记 。 所 以 ， 还 必须 满 
足 用 户 用 主机 名 访问 FTP 服 务 器 的 需求 。 
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VLAN 102 , 


图 3-3 用户 PC 和 FTP 位 于 不 同 VLAN 中 
2. 配置 HOSTS 文 件 满足 应 用 需求 


位 于 同一 VLAN 2 中 的 用 户 PC 能 用 ftp://ftpserver 访 问 FTP 服 务 器 ， 因 
为 PC 和 服务 器 都 使 用 Windows 系 统 ， 默 认 情况 下 ， 它 们 都 位 于 Windows 的 
“WORKGROUP” 的 工作 组 中 ，Windows 也 就 能 把 机 器 名 “ftpserver” 解 析 成 
“192.168.2.8” 的 IP 地 址 。 


但 当 PC 和 服务 器 位 于 不 同 VLAN 中 ， 虽 然 默认 情况 下 ，PC 和 FTP 服 务 器 
也 还 是 位 于 “WORKGROUP” 工 作 组 中 ， 而 且 位 于 VLAN 102 中 的 PC 通过 
ftp://192.168.2.8 还 能 访问 FTP 服 务 器 。 但 因为 两 台 设 备 分 别 位 于 不 同 VLAN 中 
时 ， 此 时 VLAN 102 的 PC 上 的 Windows 系 统 已 经 不 能 把 “ftpserver” 解 析 为 
“192.168.2.8”， 也 就 是 用 户 不 能 再 使 用 ftp://ftpserver 访 问 FTP 服 务 器 上 的 资 
源 了 。 


不 过 ， 此 时 利用 HOSTS 文 件 的 功能 ， 也 能 解决 此 问题 。 默 认 情 况 下 ， 在 用 
户 电脑 的 “C:\windows\system32\drivers\etc” 目 录 中 找到 HOSTS 文 件 。 在 系统 
Windows 2000 中 ， 应 该 在 “C:\winnt\system32\drivers\etc” 目 录 中 。 双 击 HOSTS 
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文件 ， 然 后 选择 用 “记事 本 ”程序 打开 。 之 后 就 会 看 到 HOSTS 文 件 的 所 有 内 容 
了 。 默 认 情 况 下 只 有 一 行内 容 “127.0.0.1 localhost”， 其 他 前 面 带 有 “#” 的 行 都 
不 是 真正 的 内 容 ， 只 是 帮助 信息 而 已 。 将 “192.168.2.8 ftpserver” 添 加 到 HOSTS 
文件 中 。 具 体格 式 是 先 写 卫 地址 ， 然 后 空格 接 服务 器 的 计算 机 名 称 。 设 置 完毕 
后 ， 保 存 HOSTS 文 件 的 配置 。 这 样 在 访问 “fip:/ftpserver” 时 ，PC 就 会 根据 HOSTS 
文件 ， 把 地 址 解析 为 “ftp://192.168.2.8”， 也 就 可 以 访问 FTP 上 的 资源 了 。 


上》 计算 机 ， 本 地 磁盘 (C:) 》 Windows > System32 drivers 》 etc 


包含 到 库 中 ~ ”共享 


图 3-4 ”hosts 文 件 在 windows 系 统 中 的 位 置 


(]) 在 Windows 系 统 中 ，NetBIOS 使 用 广播 进行 通信 ， 而 广播 是 无 法 通过 路 由 
器 的 。 也 就 是 两 个 子 网 没 法 通过 NetBIOS 进 行 相互 通信 。 但 若是 在 子 网 当中 架设 
了 WINS 服 务 器 的 话 ， 就 可 以 解决 此 问题 。WINS 服 务 器 为 NetBIOS 提 供 名 字 注 
册 、 更 新 、 释 放 服务 ， 并 在 需要 时 将 它 解析 成 为 耳 地 址 。 


所 以 ， 在 三 层 交 换 机 中 ， 开 启 了 三 层 功能 后 如 果 不 用 ACL 限 制 VLAN 之 间 
的 通信 ， 各 个 VLAN 之 间 是 连通 的 。 这 样 ， 同 一 VLAN 内 部 的 机 器 能 在 “网 上 邻 
居 ” 中 看 见 对 方 ， 不 同 VLAN 之 间 的 机 器 不 会 出 现在 “网 上 邻居 ”中 。 但 是 如 果 
在 网 络 中 架设 了 WINS 服 务 器 ， 就 可 以 在 “网 上 邻居 ”中 看 见 不 同 VLAN 之 间 的 
PC。 


(2)DNS(Domain Name System， 域 名 系统 ) 目 前 已 普遍 应 用 到 企业 网 络 中， 
它 是 由 解析 器 和 域名 服务 器 组 成 ， 保 存 有 该 网 络 中 所 有 主机 的 域名 和 对 应 的 IP 地 
址 ， 并 具 解 析 功 能 。 其 中 域名 必须 对 应 一 个 人 P 地 址 ， 而 人 PP 地址 不 一 定 要 有 域名 。 
在 互联 网 中 域名 与 耳 地址 之 间 是 一 对 一 或 者 多 对 一 的 关系 。 


DNS 实现 的 是 了 P 地 址 和 域名 的 映射 ， 而 WINS 服 务 器 功能 实现 的 是 了 地 址 和 
计算 机 名 称 的 映射 ， 它 集中 管理 计算 机 名 称 和 下 地 址 。 通 常 这 些 计 算 机 名 称 都 是 
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在 某 个 单位 内 部 有 效 ， 例 如 ， 在 一 个 局 域 网 内 可 以 通过 使 用 计算 机 名 访问 另 一 台 
计算 机 。 访 问 时 就 有 一 个 查询 耳 地 址 的 过 程 ， 这 就 是 通过 WINS 服 务 来 实现 的 。 


(3)HOSTS 是 一 个 没有 扩展 名 的 系统 文件 ， 可 以 用 记事 本 等 工具 打开 ， 其 作 
用 就 是 将 一 些 常用 的 网 址 域名 与 其 对 应 的 耳 地 址 建立 一 个 关联 “数据 库 ”， 当 用 
户 在 浏览 器 中 输入 一 个 需要 登录 的 网 址 时 ， 系 统 会 首先 自动 从 HOSTS 文 件 中 寻 
找 对 应 的 耳 地 址 ， 一 旦 找到 ， 系 统 会 立即 打开 对 应 网 页 ， 如 果 没 有 找到 ， 则 系统 
会 再 将 网 址 提交 DNS 域名 解析 服务 器 进行 耳 地 址 的 解析 。 


HOSTS 文 件 在 不 同 操作 系统 ， 甚 至 不 同 Windows 版 本 的 位 置 都 不 大 一 样 ， 
Windows XP 和 Windows 7/8 系 统 默认 位 置 在 “Windows\System32\drivers\etc”。 
Win7 系 统 有 时 需要 提升 用 户 对 HOSTS 文 件 的 操作 权限 ， 否 则 打 不 开 HOSTS 文 
件 。 具 体 方法 是 : 按 着 Shift 键 ， 然 后 在 HOSTS 文 件 上 面 右 击 ， 以 管理 员 方 式 运 
行 即 可 。 一 般 来 说 用 户 访问 互联 网 ， 比 如 访问 百度 或 新 浪 ， 要 首先 通过 DNS 服务 
器 把 要 访问 的 网 站 域名 解析 成 一 个 唯一 的 耳 地址。 之 后 浏览 器 才能 对 此 网 站 进行 
定位 并 且 访 问 其 数据 。 


操作 系统 规定 ， 在 进行 DNS 请 求 以 前 ， 先 检查 系统 自己 的 HOSTS 文 件 中 是 
否 有 这 个 域名 和 IP 的 映射 关系 。 如 果 有 ， 则 直接 访问 这 个 IP 地 址 指定 的 网 络 位 
置 ， 如 果 没 有 ， 再 向 已 知 的 DNS 服务 器 提出 域名 解析 请 求 ， 也 就 是 说 HOSTS 的 IP 
解析 优先 级 比 DNS 要 高 。 


总 的 来 说 HOSTS 文 件 有 三 大 方面 的 功能 : 一 是 加 快 域名 解析 。 对 于 要 经 常 
访问 的 网 站 ,我们 可 以 通过 在 HOSTS 中 配置 域名 和 IP 的 映射 关系 ， 提 高 域名 解析 
速度 。 由 于 有 了 映射 关系 ， 当 我 们 输入 域名 计算 机 就 能 很 快 解析 出 卫 ， 而 不 用 请 
求 网 络 上 的 DNS 服务 器 。 二 是 方便 局 域 风 用户。 在 很 多 单位 的 局 域 风 中， 会 有 服 
务 器 提供 给 用 户 使 用 。 但 由 于 局 域 网 中 一 般 很 少 架设 DNS 服务 器 ， 访 问 这 些 服务 
器 时 ， 要 输入 难 记 的 耳 地 址 。 这 对 不 少 人 来 说 相当 麻烦 。 可 以 分 别 给 这 些 服务 器 
取 个 容易 记 住 的 名 字 ， 然 后 在 HOSTS 中 建立 IP 映 射 ， 这 样 以 后 访问 的 时 候 ， 只 
要 输入 这 个 服务 器 的 名 字 就 行 了 。 三 是 屏蔽 网 站 。 屏 蔽 网 站 也 就 是 域名 重 定向 功 
能 。 有 很 多 网 站 不 经 过 用 户 同意 就 将 各 种 各 样 的 插件 安装 到 用 户 的 计算 机 中 ， 其 
中 有 些 说 不 定 就 是 木马 或 病毒 。 对 于 这 些 网 站 可 以 利用 HOSTS 把 该 网 站 的 域名 
映射 到 错误 的 人 P 地 址 或 本 地 计算 机 的 全， 这 样 就 访问 不 到 该 网 站 了 。 在 Windows 
系统 中 ， 约 定 127.0.0.1 为 本 地 计算 机 的 他 地 址 ，0.0.0.0 是 错误 的 他 地 址 。 如 果 我 们 
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在 HOSTS 中 ， 写 入 以 下 内 容 : 


127.0.0.1 # 要 屏蔽 的 网 站 A 
0.0.0.0 # 要 屏蔽 的 网 站 B 


这 样 ， 计 算 机 解析 域名 A 和 B 时 ， 就 解析 到 本 机 匡 或 错误 的 卫 ， 也 就 达到 了 
屏蔽 网 站 A 和 B 地 址 的 目的 了 。 


修改 HOSTS 文 件 ， 就 是 把 HOSTS 文 件 中 的 DNS 解析 对 应 关系 进行 修改 ， 从 
而 实现 正确 解析 的 目的 。 因 为 在 本 地 计算 机 访问 某 域名 时 会 首先 查看 本 地 系统 
中 的 HOSTS 文 件 。HOSTS 文 件 中 的 解析 关系 优先 级 大 于 DNS 服务 器 上 的 解析 关 
系 。 这 样 当 我 们 希望 把 某 个 域名 与 某 卫 地 址 绑 定 的 话 ， 就 可 以 通过 在 HOSTS 文 
件 中 添加 解析 条 目 来 实现 。 


所 以 ， 在 VLAN 102 中 的 PC 浏览 器 地 址 栏 中 输入 “ftp://ftpserver” 后 ， 计 算 
机 会 首先 查看 HOSTS 文 件 中 是 否 有 ftpserver 对 应 的 人 P 地 址 ， 车 有 的 话 ， 就 按照 对 
应 的 IP 地 址 访问 服务 器 上 的 资源 。 当 然 ， 若 是 在 网 络 中 架设 了 WINS 服 务 器 ， 也 
可 以 在 VLAN 102 中 的 PC 的 “资源 管理 器 ”的 地 址 栏 中 ， 或 者 是 在 “运行 ”中 ， 
输入 “\\ftpserver” 回 车 ， 也 可 以 访问 到 FTP 服 务 器 上 的 资源 。 两 种 访问 FTP 服 务 
器 的 方法 在 功能 上 是 一 样 的 ， 但 在 实现 的 原理 上 是 不 同 的 。 


3.2” 运 维 实例 : 用 BAT 文 件 提高 维护 效率 


作为 一 名 网 络 运 维 师 ， 拿 着 笔记 本 电脑 跑 来 跑 去 排除 各 种 网 络 故障 是 常 有 
的 事 。 故 障 的 类 型 也 总 是 千变万化 ， 有 时 是 客户 端 故 障 ， 有 时 是 网 络 设备 故障 。 
为 了 确定 每 一 个 故障 的 部 位 和 原因 ， 最 常用 的 方法 就 是 使 用 替换 法 。 更 换 一 根 网 
线 ， 看 故障 有 没有 消失 ， 或 者 更 换 客户 端的 电脑 看 故障 消失 没有 ， 若 故障 消失 那 
就 说 明 是 电脑 的 故障 。 若 故障 依然 存在 ， 那 网 络 的 故障 就 和 客户 端的 电脑 没有 关 
系 。 但 使 用 替换 法 ， 在 用 一 台 笔记 本 电脑 替换 了 客户 端的 电脑 后 ， 通 常 还 要 对 电 
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脑 进 行 一 系列 的 设置 ， 以 保证 更 换 后 笔记 本 电脑 的 配置 和 原来 电脑 上 的 配置 是 一 
样 的 。 最 常见 的 就 是 网 络 参数 的 设置 ， 如 IP 地 址 、 子 网 掩 码 、 默 认 网 关 和 DNS 地 
址 等 。 但 就 是 这 些 简单 的 设置 ， 常 常会 影响 网 络 工程 师 排查 故障 的 效率 ， 因 为 需 
要 来 回 的 设置 ， 耽 误 了 很 多 的 时 间 。 下 面 就 通过 一 则 实例 ， 说 明 通过 巧妙 利用 
BAI 的 可 执行 文件 ， 来 提高 网 络 运 维 人 员 的 工作 效率 。 


1. 网 络 结构 说 明 


目前 公司 和 其 他 的 一 些 单位 (如 学 校 ) 普 遍 使 用 的 网 络 结构 都 是 如 图 3-5 所 示 的 
结构 ， 也 就 是 园区 网 的 架构 。 图 3-5 中 使 用 的 网 络 设备 都 是 Cisco 的 设备 ， 在 实际 
部 署 时 H3C 和 华为 的 网 络 设备 通常 使 用 的 也 比较 多 。 在 图 3-5 中 为 了 确保 重要 设 
备 的 稳定 性 和 宛 余 性 ， 核 心 层 交 换 机 使 用 两 台 Cisco4506， 它 们 之 间 通 过 Trunk 线 
连接 。 在 接 入 层 使 用 了 多 台 Cisco2960 交 换 机 ， 图 示 为 了 简洁 ， 只 画 出 了 两 台 。 
在 核心 交换 机 上 连接 有 单位 重要 的 服务 器 ， 如 DHCP、E-MAIL、WEB 和 视频 服 
务 器 等 。 单 位 IP 地 址 的 部 署 ， 使 用 的 是 A 类 私有 10 网 段 的 地 址 。 其 中 ，DHCP 服 
务 器 的 人 P 地 址 为 10.10.1.1/24。WEB 服 务 器 的 人 P 地 址 为 10.10.2.1/24， 网 络 中 DNS 地 
址 使 用 的 是 202.96.96.68 和 8.8.8.8， 子 网 掩 码 都 是 255.255.255.0， 网 络 终 端的 默认 
网 关 地 址 的 前 三 个 数字 和 终端 的 也 地 址 都 是 一 样 的 ， 只 是 最 后 一 个 数字 为 254， 
如 DHCP 和 WEB 服 务 器 的 默认 网 关 分 别 是 10.10.1.254 和 10.10.2.254。 


因为 网 络 中 有 DHCP 服 务 器 ， 所 以 客户 端的 IP 地 址 、 子 网 掩 码 都 是 从 DHCP 
服务 器 上 自动 获得 的 。 而 网 络 中 连接 在 核心 交换 机 上 的 服务 器 下 地 址 、 子 网 掩 码 
等 网 络 参数 的 配置 都 是 通过 静态 手工 配置 的 ， 而 不 是 从 DHCP 服 务 器 上 自动 获得 
的 。 一 般 网 络 中 的 客户 端 和 服务 器 的 网 络 参数 都 是 这 样 配置 的 ， 因 为 服务 器 的 网 
络 参数 一 般 都 是 固定 使 用 的 ， 很 长 时 间 都 不 会 发 生变 化 ， 若 经 常 变 化 的 话 ， 也 会 
影响 到 服务 器 的 应 用 系统 的 相关 配置 。 另 外 ， 若 是 服务 器 上 的 人 P 地 址 变化 的 话 ， 
和 也 地 址 相对 应 的 域名 往往 也 要 做 相应 的 调整 ， 所 以 服务 器 上 的 网 络 参数 一 般 都 
是 静态 配置 的 。 但 是 对 于 网 络 中 客户 端的 电脑 ， 方 便 性 往往 是 其 首先 要 考虑 的 ， 
车 让 用 户 经 常 自己 手动 配置 IP 地 址 ， 那 是 比较 麻烦 的 ， 自 动 从 DHCP 服 务 器 上 获 
取 网 络 参数 才 是 最 好 的 解决 方案 。 
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E-MAIL 


认证 


/ 旺 加 /时 加 
-旺旺 
用 户 组 用 户 组 

图 3-5 网 络 结构 拓扑 图 


2. 排除 网 络 故障 经 常 遇 到 的 问题 


在 网 络 中 ， 常 常会 出 现 用 户 不 能 访问 服务 器 上 应 用 系统 的 故障 。 例 如 ， 在 图 
3-5 的 网 络 中 就 可 能 会 出 现 这 种 故障 。“ 用 户 组 ”中 的 一 台 PC 不 能 访问 WEB 服 务 
器 上 的 应 用 ， 而 且 在 PC 上 也 不 能 ping 通 WEB 服 务 器 。PC 的 IP 地 址 、 子 网 掩 码 、 
默认 网 关 和 DNS 地 址 都 是 从 DHCP 服 务 器 上 自动 获取 的 。 


发 生 故 障 的 原因 可 能 是 PC 或 者 是 WEB 服 务 器 有 问题 ， 也 可 能 是 网 络 设备 或 
者 网 络 线路 有 问题 。 若 是 不 能 马上 定位 故障 发 生 的 部 位 ， 最 好 的 解决 办 法 就 是 
利用 “替换 法 ”。 把 不 能 访问 WEB 应 用 的 PC 用 一 台 笔 记 本 电脑 代替 ， 然 后 看 故 
障 有 没有 消失 ， 故 障 消失 的 话 就 说 明 是 用 户 PC 的 故障 ， 否 则 故障 就 和 PC 没有 关 
系 ; 或 者 用 笔记 本 电脑 代替 WEB 服 务 器 ， 然 后 再 在 用 户 组 的 PC 上 看 能 不 能 ping 
通 代替 WEB 服 务 器 的 笔记 本 电脑 ， 能 ping 通 就 说 明 网 络 不 通 的 问题 和 WEB 服 务 
器 有 关 ， 和 否则 和 WEB 服 务 器 无 关 。 
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这 种 排除 故障 的 方法 ， 有 一 个 不 方便 的 地 方 就 是 要 频繁 的 在 电脑 (Windows 
7 系统 ) 的 “开始 ”一 “控制 面板 ”一 “网 络 和 共享 中 心 ”一 “更 改 适配器 设 
置 ”一 双击 “本 地 连接 ”一 双击 “Intemet 协 议 版 本 4(TCP/ITPv4)” 中 进行 各 项 网 
络 参数 的 配置 ， 如 图 3-6 所 示 。 


引 志 撞 此 下 人 内 同名 区 隐身 所 湛 的 IP 设置 。 否则, 您 需 


辐 自动 获得 IP 地 址 (0) 
@ 使 用 下 面 的 IP 地 址 (S) : 
IP 地 址 (I) : 

子 网 掉 码 (0) : 
默认 网 关 (D) : 


) 自动 获得 DNS 服务 器 地 址 (B) 
图 使 用 下 面 的 DNS 服务 器 地 址 (E) : 
首选 DNS 服务 器 (P) : 


备用 DNS 服务 器 (4) : 


辐 退出 时 验证 设置 (L) | 
取消 
图 3-6 “Internet 协 议 版 本 4(TCP/IPv4) 属 性 ”图 示 


例如 在 上 面 使 用 “替换 法 ”排除 故障 的 时 候 ， 用 笔记 本 电脑 替代 了 WEB 服 
务 器 ， 就 要 在 笔记 本 电脑 上 ， 在 如 图 3-6 所 示 的 地 方 ， 设 置 和 WEB 服 务 器 上 参数 
一 样 的 网 络 配置 。 若 这 时 又 要 使 用 笔记 本 电脑 替代 用 户 组 的 PC 进行 测试 ， 就 又 
要 把 笔记 本 上 网 卡 的 网 络 参数 ， 在 如 图 3-6 所 示 的 上 面 选择 “自动 获得 IP 地 址 ” 
和 “自动 获得 DNS 服 务 器 地 址 ”。 这 样 来 回 的 在 如 图 3-6 所 示 的 地 方 进行 网 络 参 
数 的 配置 ， 其 实 是 很 繁琐 又 很 耽误 时 间 的 ， 那 有 没有 配置 网 卡 网 络 参 数 快捷 的 
方法 呢 ? 


3. 利用 BAT 文 件 快速 配置 网 卡 的 网 络 参数 


其 实 ， 可 以 创建 两 个 BAT 的 可 执行 文件 ， 来 提高 配置 网 卡 网 络 参 数 的 效率 。 
首先 新 建 一 个 文本 文档 ， 然 后 把 如 下 代码 复制 粘贴 到 文本 文档 中 : 
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netsh interface ip set address “本 地 连接 ” dhcp 


netsh interface ip set dns “本 地 连接 ” dhcp 


然后 保存 文件 ， 注 意 保存 文件 的 格式 为 “.bat” 格式 ， 不 要 保存 成 “txt” 格 
式 ,例如 DHCPbat。 再 新 建 一 个 文本 文档 ， 把 如 下 所 示 的 代码 复制 粘贴 到 文本 文 
档 中 : 


netsh interface ip set address “本 地 连接 ” static 
人 ED 255525582590 L01052-5254 


netsh interface ip set dns “本 地 连接 ” Lal 
202.96.96.68 


netsh interface ip add dns “本 地 连接 ” 8.8.8.8 


然后 以 Net bat 格 式 保存 文件 。 若 这 两 个 文件 存放 的 位 置 不 在 电脑 的 桌面 上 ， 
可 以 把 它们 拷贝 到 桌面 上 ， 方 便 以 后 经 常 的 使 用 。 如 图 3-7 所 示 。 


DHCP.bat Net.bat 
图 3-7 桌面 上 的 “DHCPbat” 和 “Net.bat” 可 执行 文件 


这 样 ， 在 上 面 排 除 故 障 的 过 程 中 ， 若 是 想 把 笔记 本 电脑 网 卡 的 亿 地 址 、 子 网 
掩 码 、 默 认 网 关 和 DNS 地 址 分 别 设置 为 10.10.2.1、255.255.255.0、10.10.2.254 和 
“202.96.96.68 和 8.8.8.8”， 直 接 在 笔记 本 电脑 的 桌面 上 双击 “Net.bat” 的 图 标 ， 
执行 “Netbat” 文 件 即 可 。 程 序 运行 的 时 间 大 约 也 就 一 两 秒 ， 执 行 完成 后 ， 电 脑 
网 卡 的 参数 自动 就 变 成 了 上 面 的 参数 。 若 想 再 让 笔记 本 电脑 网 卡 从 DHCP 服 务 
器 上 自动 获取 下 地 址 ， 只 需 在 电脑 的 桌面 上 双击 执行 “DHCP.bat” 的 可 执行 文件 
即 可 。 
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4. 总 结 


(1) 有 时 配置 电脑 网 卡 的 网 络 参数 ， 并 不 都 是 和 Net.bat 文 件 中 所 列 的 参数 一 
样 ， 也 可 能 是 别 的 IP 地 址 或 默认 网 关 。 这 种 情况 下 ， 也 不 必 在 如 图 3-6 所 示 的 
“Intemet 协 议 版 本 4(TCP/IPv4) 属 性 ”中 ， 配 置 网 络 参数 ， 只 需 在 电脑 桌面 的 Net. 
bat 文 件 上 点 击 右键 ， 选 择 “ 编 辑 ” 后 ， 就 可 以 对 Netbat 文 件 进行 编辑 ， 把 卫 地 
址 、 子 网 掩 码 等 网 络 参数 修改 成 你 需要 的 值 后 ， 保 存 文件 ， 并 关闭 。 然 后 双击 
“Net.bat” 的 图 标 执行 它 ， 这 样 就 可 以 很 快 的 把 网 卡 的 网 络 参数 配置 成 你 需要 的 
参数 。 


这 种 配置 网 卡 网 络 参数 的 方法 ， 比 在 “Internet 协 议 版 本 4(TCP/IPv4) 属 性 ” 
中 配置 要 快 和 方便 很 多 。 这 样 长 年 累 月 的 下 来 ， 也 能 给 从 事 网 络 管理 和 维护 的 工 
程 师 们 节省 很 多 时 间 ， 同 时 也 提高 了 他 们 的 工作 效率 。 


(2) 上 面 两 个 BAI 文 件 中 使 用 的 netsh 命 令 ， 是 网 络 维护 人 员 在 网 络 终端 上 经 
常 使 用 的 一 个 网 络 命令 ， 它 也 是 Windows 系 统 本 身 提供 的 功能 强大 的 网 络 配置 命 
令 行 工具 。 它 允许 从 本 地 或 远程 显示 或 修改 当前 正在 运行 的 计算 机 的 网 络 配置 。 


例如 ， 命 令 “netsh interface ip show address/config/dns”， 可 以 分 别 查看 当 
前 电脑 中 的 人 P 地 址 配置 和 IP 地 址 相关 的 更 多 信息 、 显 示 DNS 服 务 器 的 地 址 ; 命 
令 “netsh interface ip set address/dns”， 可 以 配置 电脑 网 卡 接口 的 JP 地 址 、 默 认 
网 关 和 DNS 服务 器 地 址 。 这 也 是 上 面 “Netbat” 可 执行 文件 中 使 用 的 命令 ， 命 
令 “netsh -c interface dump”， 可 以 查看 当前 电脑 的 网 络 配置 文件 ， 命 令 “netsh 
interface ip set address “本 地 连接 ”dhcp”， 是 配置 电脑 网 卡 自动 从 DHCP 服 务 器 
获取 耳 地 址 和 DNS 地 址 。 


3.3 运 维 实例 : 简单 故障 ， 艰 难 排查 


网 络 结构 图 如 图 3-8 所 示 。 核 心 层 交 换 机 使 用 两 台 Cisco6506， 通 过 Trunk 线 
连接 ， 汇 聚 层 使 用 了 多 台 Cisco4006 交 换 机 ， 图 示 为 了 简洁 ， 只 画 出 了 两 台 。 在 
核心 交换 机 上 连接 有 单位 重要 的 服务 器 ， 如 DHCP、E-MAIL 服务 器 、WEB 服 务 器 
等 。Cisco6506 和 Cisco4006 之 间 也 是 Trunk 连 接 。6506 通 过 光纤 连接 至 互联 网 。 
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因为 业务 需求 ， 单 位 要 在 Cisco6506 上 接 入 一 台 交 换 机 ， 以 便 扩展 6506 上 的 
端口 数量 。 我 们 使 用 了 一 台 Cisco2900 的 交换 机 和 6506 直 接 相 连 。 


6506A 6506B 


4006A 4006B 
图 3-8 ”单位 网 络 结构 图 
1. 故障 发 生 的 过 程 
Cisco2900 的 具体 型 号 是 WS-C2924C-XL-EN。Cisco6506 上 除了 引擎 板 ， 还 有 
多 个 模板 ， 主 要 有 两 种 型 号 ， 一 种 是 百 兆 模板 “WS-X6348-RJ-45”， 还 有 一 种 
是 千 兆 模板 “WS-X6148A-GE-TX”。 因 为 6506 上 端口 的 使 用 率 比 较 高 ， 没 有 使 
用 的 端口 已 经 很 少 。 正 好 在 6506A 千 兆 模板 的 G5/48 和 一 百 兆 模板 上 的 F6/48 端 口 
没有 使 用 。 
所 以 ， 直 接 使 用 一 根 网 线 ， 把 Cisco2900 的 F0/1 与 Cisco6506A 的 F6/48 相 连 ， 
结果 发 现 用 网 线 连接 的 两 个 端口 指示 灯 都 不 亮 。 难 道 这 两 个 端口 都 故障 了 ， 或 者 
是 其 中 一 个 故障 了 ? 


2. 排查 故障 的 步骤 


(1) 把 接 入 6506A 的 F6/48 端 口上 的 网 线 拔 下 来 ， 接 入 到 6506A 的 G5/48 端 口 
上 ， 发 现 G5/48 和 Cisco2900 的 F011 端口 的 指示 灯 都 亮 ， 而 且 接 入 2900 交 换 机 上 的 
PC 也 可 以 正常 上 网 。 这 就 确定 了 2900 的 F0/1 端 口 没有 故障 。 


(2) 为 了 确认 6506A 的 F6/48 端 口 是 否 故障 ， 我 们 又 找 了 另外 一 台 状态 良好 的 
Cisco3560 交 换 机 ， 用 网 线 把 Cisco3560 的 F0/1 和 6506A 的 F6/48 端 口 相连 ， 结 果 用 
网 线 连接 的 两 个 端口 的 指示 灯 都 亮 。 在 Cisco3560 上 接 入 的 PC 也 能 正常 上 网 。 这 
就 确定 了 Cisco6506A 的 F6/48 也 没有 故障 。 
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(3) 既 然 Cisco2900 的 F0/1 和 Cisco6506A 上 的 F6/48 都 没有 故障 ， 那 为 什么 用 网 
线 连 上 后 ， 两 个 端口 的 指示 灯 不 亮 呢 。 我 们 想到 可 能 是 端口 的 双 工 和 速率 不 匹 
配 造 成 的 。 接 着 就 把 电脑 分 别 接 入 6506A 和 2900 交 换 机 的 CONSOLE 口 上 ， 把 两 
个 端口 的 各 种 双 工 和 速率 类 型 都 配置 了 一 遍 。 其 中 包括 最 常见 的 把 两 个 端口 的 

“speed” 都 配置 为 100，“duplex” 配 置 为 fll， 但 结果 端口 的 指示 灯 还 是 没 亮 。 


(4) 考 虑 到 Cisco2900 的 FO/1 端 口 ， 分 别 连接 到 6506A 上 的 G5/48 和 F6/48， 一 个 
正常 ， 一 个 不 正常 ， 所 以 确定 肯定 是 在 这 两 个 端口 的 设置 上 有 什么 不 同 ， 造 成 的 
这 种 故障 。 使 用 “Cisco6506A> (enable)show port ?” 命 令 后 ， 发 现 其 中 有 一 项 是 

“auto-mdix”， 然 后 分 别 查 看 6506A 上 的 G5/48 和 F6/48 有 关 “auto-mdix” 的 参数 
配置 ， 命 令 如 下 所 示 : 


Cisco6506A > (enable) show port auto-mdix 5/48 


Port auto-mdix 


5/48 enable 
Cisco6506A > (enable)show port auto-mdix 6/48 


Feature not supported on Module 6. 


由 上 面 的 输出 可 以 看 出 模板 5 支持 “auto-mdix” 功 能 ， 而 模板 6 不 支持 。 然 
后 我 们 用 网 线 再 一 次 把 Cisco6506A 的 G5/48 和 Cisco2900 的 F0/1 端 口 相 连 ， 并 在 
6506A 上 把 端口 G5/48 的 “auto-mdix” 功 能 关闭 ， 结 果 两 个 端口 上 的 指示 灯 都 灭 
了 。 到 这 里 基本 就 确定 了 是 什么 地 方 引起 的 故障 。 


(5) 查 了 技术 资料 后 ， 发 现 “Auto MDIMDIX” 的 功能 是 “接口 自动 检测 当 
前 连接 的 网 线 是 直通 线 还 是 交叉 线 ， 然 后 根据 需要 自动 进行 连接 配置 ”。 这 时 ， 
终于 明白 故障 发 生 的 真正 原因 。 找 了 一 根 交叉 网 线 ， 一 端 标准 是 T568A， 一 端 是 
T568B， 然 后 把 6506A 的 F6/48 和 2900 的 F0/1 端 口 相连 ， 结 果 指 示 灯 显示 正常 ， 接 
入 2900 的 PC 也 可 以 正常 访问 互联 网 了 。 
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3. 总 结 


(1)MDI(Media Dependent Interface， 介 质 相 关 接 口 )， 是 指 与 局 域 网 的 传输 介 
质 直 接连 接 的 规格 。 使 用 双 绞 线 电缆 的 局 域 网 中 是 RJ-45 接 头 ， 也 就 是 MDI 所 指 
的 规格 。MDI 最 初 用 于 规定 电费 连接 部 分 的 接口 ， 但 也 用 于 描述 集线器 端口 插头 
连 线 方法 。 

应 该 说 ， 连 接 到 端口 的 设备 总 要 在 MDI 和 MDI-X 方 式 中 选择 一 种 。 一 个 发 
送 方 发 出 信号 就 必须 与 另 一 个 接收 信号 的 接收 方 相连 ， 因 此 ， 如 果 某 一 方 采用 
MDI， 连 接 的 另 一 方 就 是 MDILX。 都 是 MDI 或 都 是 MDI-X 是 不 能 正确 传输 信和 号 
的 。 此 外 ， 计 算 机 的 局 域 网 网 卡 和 路 由 器 等 设备 通常 采用 MDI 方 式 。 而 集线器 的 
普通 端口 则 采用 MDI-X 方 式 连接 。 


(2) 在 接口 上 启用 Auto-MDIX 功 能 后 ， 接 口 就 能 自动 检测 出 它 所 需 的 是 直通 
线 还 是 交叉 线 ， 然 后 再 检测 当前 所 使 用 的 连接 网 线 ， 自 动 根据 连接 类 型 需求 进行 
适当 的 配置 。 在 不 具有 Auto-MDIX 功 能 的 交换 机 上 ， 必 须 使 用 直通 网 线 连接 像 服 
务 器 、 工 作 站 、 路 由 器 这 类 的 设备 ， 用 交叉 网 线 连 接 其 他 交换 机 或 中 继 器 。 而 支 
持 Auto-MDIX 功 能 的 交换 机 ， 就 可 以 用 任何 一 种 网 线 连 接 其 他 设备 ， 接 口 可 以 自 
动 对 非 正 确 类 型 的 网 线 进行 纠正 。 


(3) 大 部 分 的 网 络 技术 人 员 都 知道 ， 正 常情 况 下 路 由 器 和 路 由 器 、 交 换 机 和 
交换 机 之 间 连 接应 使 用 交叉 线 。 但 是 随 着 技术 的 发 展 ， 端 口 都 具有 了 跳 线 自 适 
应 功能 ， 不 管 你 用 交叉 线 还 是 直通 线 ， 这 些 设备 都 能 自动 识别 和 自动 调整 的 。 但 
是 ， 对 于 所 有 的 事情 都 不 能 想当然 ， 出 现 上 面 这 种 故障 时 ， 也 要 去 查看 交换 机 的 
端口 是 不 是 支持 这 种 功能 ， 然 后 再 决定 用 什么 类 型 的 网 线 。 


3.4” 运 维 实例 : 管理 路 由 和 交换 设备 的 3 种 模式 


作为 一 名 网 络 运 维 师 ， 在 路 由 器 、 交 换 机 上 进行 命令 配置 ， 可 以 说 是 最 为 平 
常 的 工作 ， 其 目的 都 是 通过 命令 的 执行 和 参数 的 调整 ， 让 路 由 器 和 交换 机 能 够 以 
网 络 运 维 师 的 要 求 去 运行 。 这 几乎 是 网 络 运 维 师 每 天 都 要 进行 的 操作 ， 那 管理 网 
络 设备 都 有 哪 几 种 方式 ， 哪 种 管理 方式 更 简单 ， 哪 种 方式 更 高 效 ? 这 其 实 主要 是 
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根据 网 络 管理 员 的 实际 使 用 情况 进行 选择 。 下 面 就 对 网 络 路 由 和 交换 设备 的 管理 
模式 进行 简单 的 总 结 。 


1. 使 用 SSH(Secure Shell Protocol， 安 全 外 壳 协 议 ) 方 式 进行 管理 
(1)Cisco 网 络 设备 的 SSH 配 置 。 


如 图 3-9 所 示 为 使 用 SSH 方 式 管理 网 络 设备 的 拓扑 图 ，Cisco4506 和 Cisco3750 
通过 Trunk 线 连接 ， 远 程 PC 通 过 SSH 方 式 对 Cisco4506 进 行 管理 ， 其 中 Cisco4506 是 
通过 端口 1 和 Cisco3750 的 G1/0/25 端 口 相连 ， 两 个 端口 都 是 光 口 。PC 的 耳 地 址 为 
10.10.20.3/24， 并 和 Cisco3750 的 G1/0/1 端 口 相连 。Cisco4506 和 Cisco3750 上 的 主 
要 配置 如 下 所 示 。 


CisCo3750 


Cisco4506 


PC 
图 3-9 ”使 用 SSH 方 式 管理 的 网 络 拓扑 


在 Cisco4506 上 的 配置 如 下 所 示 : 


interface GigabitEthernet3/1 
switchport trunk encapsulation dotlqg 
switchport trunk allowed VLAN 20,30-300 


switchport mode trunk 


146 | 网 络 运 维 亲历 记 


interface VLAN 20 


tp address 10.30:20-1 255255922S350 


在 Cisco3750 上 的 配置 如 下 所 示 : 


interface GigabitEthernet1/0/1 
switchport access VLAN 20 

switchport mode access 

interface GigabitEthernet1/0/25 
switchport trunk encapsulation dotlq 
switchport trunk allowed VLAN 20,30-300 
switchport mode trunk 

interface VLAN 20 


ip address 10.10.20.2 255.255.255.0 


由 以 上 配置 可 以 看 出 ，Cisco4506 和 Cisco3750 的 管理 VLAN 的 IP 地 址 分 别 是 
10.10.20.1/24 和 10.10.20.2/24，Cisco3750 的 G1/0/1 端 口 位 于 VLAN 20 中 ， 并 和 电 
脑 PC 相 连 。 这 种 情况 下 ，Cisco4506 和 Cisco3750 的 三 层 VLAN 20 端 口 和 3750 的 
G1/0/1 其 实 都 位 于 二 层 VLAN 20 中 。 


要 在 PC 上 通过 SSH 方 式 管理 Cisco4506 交 换 机 ， 还 需要 在 4506 上 进行 如 下 配置 : 


Switcher (config)# hostname Cisco4506 
Cisco4506 (config)# ip domain-name domainname.com 
// 为 交换 机 设置 一 个 域名 ， 也 可 以 认为 这 个 交换 机 是 属于 这 个 域 


Cisco4506 (config)# crypto key generate rsa 
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// 此 命令 是 产生 一 对 RSA 密 钥 ， 同 时 启用 SSH， 如 果 你 删除 了 RSA 密 钥 ， 就 
会 自动 禁用 该 SSH 服 务 


Cisco4506 (config)# aaa new-model 

// 启 用 认证 ， 授 权 和 审计 (AAA) 

Cisco4506 (config)#username cisco password cisco 

// 配 置 用 户 名 和 密码 

Cisco4506 (config)# ip ssh time-out 60 

// 配 置 SSH 的 超时 周期 

Cisco4506 (config)# ip ssh _ authentication-retries 2 
// 配 置 允 许 SSH 验 证 的 次 数 

Cisco4506 (config)# line vty 0 15 

Cisco4506 (config-line)# transport input SSH 


// 在 虚拟 终端 连接 中 应 用 SSH 


需要 注意 的 是 ， 在 运行 上 面 的 配置 命令 前 ， 要 先 确认 你 的 交换 机 和 路 由 器 
是 不 是 支持 SSH 功 能 。 一 般 在 交换 机 或 路 由 器 的 Enable 模 式 下 通过 命令 “show ip 
ssh” 就 可 以 查看 ， 如 在 图 3-9 的 Cisco4506 中 执行 如 下 命令 : 


Cisco4506#sh ip ssh 
SSH Disabled - version 1.99 
SPlease create RSA keys to enable SSH. 


Authentication timeout: 120 secs; Authentication retries: 3 


由 上 面 的 输出 可 以 看 出 ，Cisco4506 支 持 SSH 功 能 ， 只 是 还 没有 启用 而 已 。 
而 在 Cisco3750 上 执行 如 上 命令 后 会 得 到 如 下 显示 : 


148 | 网 络 运 维 亲历 记 


Cisco3750#sh ip ssh 


入 


A 


当 Invalid input detected at marker. 


由 上 面 的 输出 可 以 看 出 ， 图 3-10 中 的 3750 并 不 支持 SSH 功 能 。 


图 3-10 ”虚拟 终端 上 的 参数 配置 


配置 完 上 面 的 命令 后 ， 就 可 以 在 电脑 PC 上 测试 你 的 配置 。 首 先 ， 要 在 PC 上 
安装 有 SSH 终 端 客 户 端 程序 ， 如 SecureCRT， 然 后 在 SecureCRT 中 进行 相应 的 设 
置 ， 如 图 3-10 所 示 ， 然 后 单 击 “Connect” 按 钮 ， 按 提示 输入 用 户 名 cisco 及 密码 
cisco， 即 可 进入 到 Cisco4506 交 换 机 的 配置 界面 。 


(2)H3C 网 络 设备 的 SSH 配 置 。 


H3C 网 络 设备 SSH 的 配置 ， 在 原理 上 和 在 思科 设备 上 的 配置 一 样 ， 只 是 在 命 
令 上 有 差别 而 已 ， 下 面 就 以 H3C S3100-52TP-SI 交 换 机 为 例 ， 说 明 如 何在 H3C 交 
换 机 上 配置 SSH。 
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<H3C-S3100> system-view 

H3C-S3100] public-key local create rsa 

// 生 成 RSA 密 钥 对 

H3C-S3100] public-key local create dsa 

// 生 成 DSA 密 钥 对 

H3C-S3100] ssh server enable 

// 启 动 SSH 服 务 器 

H3C-S3100] user-interface vty 0 4 
H3C-S3100-ui-vty0-4] _ authentication-mode scheme 
// 设 置 SSH 客 户 端 登录 用 户 界 面 的 认证 方式 为 AAA 认证 
H3C-S3100-ui-vty0-4] Protocol inbound ssh 
// 设 置 H3C-S3100 上 远程 用 户 登 录 协 议 为 SSH 
H3C-S3100] local-user admin 


H3C-S3100-luser-admin] password simple 12345 


H3C-S3100-luser-admin] service-type ssh level 3 

/ /创建 本 地 用 户 admin， 登 录 密码 为 12345， 并 设置 用 户 访问 的 命令 级 别 
为 3， 即 管理 级 用 户 

[H3C-S3100] ssh user admin authentication-type password 


// 指 定 SsH 用 户 admin 的 认证 方式 为 password 


配置 完 上 面 的 命令 后 ， 也 可 以 使 用 SecureCRT， 用 SSH 方 式 登录 到 H3C 
S3100-52TP-SI 交 换 机 上 ， 输 入 用 户 名 和 密码 后 ， 就 可 以 进行 管理 和 配置 。 


(3)SSH 是 建立 在 应 用 层 和 传输 层 基础 上 的 安全 协议 ， 也 是 为 解决 Telnet 的 安 
全 隐患 而 开发 的 一 个 协议 。 因 为 使 用 Telnet， 在 网 络 上 是 通过 明文 传送 口令 和 数 
据 的 ， “中间人 ”很 容易 截获 这 些 口令 和 数据 。 而 SSH 是 基于 成 熟 的 公 钥 密码 体 
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系 ， 把 所 有 的 传输 数据 都 进行 加 密 ， 保 证 在 数据 传输 时 不 被 恶意 破坏 、 泄 露 和 
算 改 。SSH 还 使 用 了 多 种 加 密 和 认证 方式 ， 解 决 传输 中 数据 加 密 和 身份 认证 的 问 
题 ， 能 有 效 防止 网 络 嗅 探 和 JP 地 址 欺骗 等 攻击 。 它 也 能 为 远程 登录 会 话 和 其 他 
网 络 服务 提供 安全 协议 ， 可 以 有 效 防止 远程 管理 过 程 中 的 信息 泄露 问题 。 使 用 
SSH， 还 有 一 个 额外 的 好 处 就 是 数据 的 传输 是 经 过 压缩 的 ， 所 以 可 以 加 快 传输 的 
速度 。SSH 还 可 以 为 FTP 和 PPP 的 使 用 提供 一 个 安全 的 “通道 ”。 


SSH 协 议 已 经 历 了 SSH1 和 SSH2 两 个 版 本 ， 它 们 使 用 了 不 同 的 协议 来 实现 ， 
二 者 互 不 兼容 。SSH2 无 论 是 在 安全 上 、 功 能 上 ， 还 是 在 性 能 上 都 比 SSH1 有 很 大 
优势 ， 所 以 目前 使 用 最 多 的 还 是 SSH2 。 


2. 使 用 WEB 方 式 管理 网 络 设备 


H3C 的 路 由 、 交 换 设备 对 WEB 的 管理 支持 比较 好 。 但 在 用 WEB 方 式 进行 管 
理 配 置 之 前 ， 先 要 对 路 由 、 交 换 设 备 进行 相应 的 配置 。 下 面 就 以 H3C S3100-8C- 
SI 设备 为 例 说 明 其 相关 配置 ， 网 络 拓扑 图 如 图 3-11 所 示 。 


H3C S3100 村 管理 PC 
图 3-11 管理 H3C 交 换 机 的 网 络 拓扑 图 


(1) 使 用 一 条 Console 线 ， 把 电脑 的 串口 和 H3C S3100 交 换 机 的 Console 口 相 
配置 交换 机 管理 VLAN 的 人 P 地 址 。 


这 


<H3C> system-view 
[H3C] interface VLAN-interface 2 
// 进 入 管理 VLAN 
[H3C-VLAN-interface2] undo ip address 
// 取 消 管理 VLAN 原 有 的 IP 地 址 
[H3C-VLAN-interface2] ip address 10.10.2.1 255.255.255.0 


// 配 置 以 太 网 交换 机 管理 VLAN 的 IP 地 址 为 10 .10.2.1 
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(2) 通 过 Console 口 ， 在 交换 机 H3C S3100 上 配置 欲 登 录 的 WEB 管 理 用 户 的 用 
户 名 和 认证 口令 。 添 加 以 太 网 交换 机 的 Web 用 户 ， 用 户 级 别 设 为 3， 即 管理 级 别 
的 用 户 。 


[H3C] local-user admin 

// 设 置 用 户 的 用 户 名 为 admin 

[H3C-luser-admin] service-type telnet level 3 
// 设 置 用 户 级 别 为 3 

[H3C-luser-admin] password simple admin 


// 设 置 用 户 admin 的 密码 为 adamin 


(3) 配 置 交换 机 到 网 关 的 静态 路 由 。 


[IE3Cj3apEcakEe=stEatae2 000:0° 02050200 10>1002 :254 


// 网 关 的 IP 地 址 为 10 .10.2.254 


[H3C] undo ip http shutdown 


// 执 行 此 命令 确保 http 服 务 运行 


配置 完 上 面 的 命令 后 ， 就 可 以 在 管理 PC 的 浏览 器 中 输入 http:/10.10.2.1， 按 
回 车 键 后 ， 就 可 以 看 到 如 图 3-12 所 示 的 H3C 交 换 机 WEB 管 理 登录 界面 ， 输 入 用 户 
名 和 密码 ， 并 选择 WEB 管 理 界面 的 语言 后 回 车 ， 就 可 以 看 到 如 图 3-13 所 示 的 管理 
界面 ， 根 据 管理 界面 中 的 语言 提示 ， 就 可 以 对 交换 机 H3C S3100 中 的 各 项 参数 进 
行 配置 。 

需要 注意 的 是 ， 管 理 PC 和 H3C 交 换 机 的 管理 IP 的 10.10.2.1/24 之 间 必 须 有 可 达 
路 由 ， 若 路 由 不 可 达 ， 那 无 论 在 管理 PC 的 浏览 器 中 输入 怎样 的 人 P 地 址 也 不 能 登 
录 到 H3C 交 换 机 的 WEB 管 理 界面 。 要 验证 在 管理 PC 中 到 交换 机 的 路 由 可 达 性 ， 
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可 以 在 管理 PC 的 “命令 行 ” 中 执行 “ping 10.10.2.1” 命 令 ， 若 能 ping 成 功 的 话 ， 
一 般 来 说 在 管理 PC 和 H3C 交 换 机 之 间 的 路 由 是 没有 问题 的 。 


Web 网 管用 户 登 录 


PP |] 
ee | 
i | 


于 证 -之 沁 旺 
图 3-12 H3C 交 换 机 WEB 管 理 登 录 界 面 
3C LanCheGongSi_3100_8C 


设备 概 全 【设备 概 宣 ] 
waa CTTTIEEE? 


图 3-13 ”H3C 交 换 机 的 管理 配置 界面 
3. 使 用 Telnet 方 式 管理 网 络 设备 


这 种 管理 模式 需要 在 路 由 、 交 换 设 备 上 配置 的 命令 比 用 SSH 管 理 方式 配置 的 
命令 更 少 。 下 面 还 是 以 图 3-9 的 拓扑 图 为 例 ， 对 交换 机 进行 相应 的 配置 ， 以 便 用 
户 通过 管理 PC， 用 Telnet 方 式 能 够 对 Cisco4506 进 行 管理 配置 。 


Cisco4506 和 Cisco3750 上 的 管理 VLAN 20 的 配置 和 PC 的 IP 地 址 及 其 与 3750 相 
连 端口 的 配置 和 “1” 中 用 SSH 方 式 管理 的 配置 者 一样， 如 下 所 示 。 


在 Cisco4506 上 的 配置 如 下 所 示 : 


interface GigabitEthernet3/1 
switchport trunk encapsulation dotlq 


switchport trunk allowed VLAN 20,30-300 
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switchport mode trunk 
interface VLAN 20 


ap address 10- HO0201 255 23555255:0 


在 Cisco3750 上 的 配置 如 下 所 示 ; 


interface GigabitEthernet1/0/1 
Switchport access VLAN 20 
Switchport mode access 
interface GigabitEthernet1/0/25 
Switchport trunk encapsulation dotlq 
Switchport trunk allowed VLAN 20,30-300 
switchport mode trunk 
interface VLAN 20 


ip -address 了 05102022225552552255<0 


要 用 Telnet 方 式 管理 设备 ， 同 时 还 要 在 Cisco4506 上 进行 如 下 的 配置 : 


line vty 0 15 
password 7 525E0305E3595551E4 


login 


在 Cisco4506 和 Cisco3750 上 配置 完 以 上 的 命令 后 ， 也 可 以 使 用 电脑 PC 中 的 
SecureCRT 软 件 ，Telnet 到 4506 上 对 其 进行 管理 和 配置 ， 在 SecureCRT 中 ， 需 要 配 
置 的 参数 也 只 有 Cisco4506 的 他 地 址 10.10.20.1/24， 如 图 3-14 所 示 。 
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What ic the nane or IP addrecc of the renote hoot? 


Hostnane: 10. 10. 20. 1| 


Port 


Firevall: 


E(B) 


图 3-14 在 SecureCRT 虚 拟 终端 软件 上 的 参数 配置 


当然 ， 也 可 以 直接 在 电脑 PC 的 “命令 行 ”中 ， 执 行 命令 “telnet 10.10.20.1”， 
同样 可 以 Telnet 到 Cisco4506 交 换 机 上 对 其 进行 管理 和 配置 。 
4. 使 用 电脑 的 串口 管理 网 络 设备 


如 图 3-15 所 示 的 是 Cisco3750 的 正面 视图 ， 一 般 交换 机 的 电 口 和 光 口 都 位 于 
交换 机 的 正面 ， 这 种 部 署 方便 以 后 在 设备 上 进行 网 线 和 光缆 的 拔 插 。 而 管理 配置 
交换 机 的 Console 口 一 般 位 于 交换 机 的 背面 ， 如 图 3-16 所 示 。 


图 3-16 Cisco3750 背 面 视图 及 通过 Console 口 配置 交换 机 


通过 Console 口 直接 连接 到 路 由 器 或 交换 机 上 ， 对 其 进行 本 地 管理 配置 ， 也 
是 一 种 安全 、 可 靠 的 配置 维护 方式 。 当 网 络 设备 初次 上 电 、 与 外 部 网 络 连接 中 断 
或 出 现 其 他 异常 情况 时 ， 通 常 采用 这 种 方式 配置 网 络 设备 。 
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将 管理 PC 的 串口 与 网 络 设备 的 Console 口 连接 ， 然 后 在 管理 PC 上 运行 终端 
仿真 程序 ， 如 Windows 系 统 中 的 超级 终端 ， 或 者 使 用 SecureCRT 应 用 程序 。 然 后 
在 终端 仿真 程序 上 建立 新 连接 ， 选 择 实际 连接 网 络 设备 时 ， 使 用 的 管理 PC 上 的 
串口 ， 并 配置 终端 通信 的 参数 。 默 认 情 况 下 的 参数 都 是 : 9600 波 特 、8 位 数据 
位 、1 位 停止 位 、 无 校 验 、 无 流 控 。 

最 后 ， 对 路 由 器 或 交换 机 进行 上 电 自 检 ， 系 统 会 自动 进行 配置 。 自 检 结 束 
后 ， 系 统 会 提示 用 户 键入 回 车 ， 直 到 出 现 命令 行 提示 符 ， 然 后 就 可 以 键入 命令 ， 
配置 网 络 设备 ， 或 者 查看 其 运行 状态 等 。 


另外 ， 还 可 以 通过 配置 以 下 参数 ， 使 通过 Console 口 的 管理 更 加 安全 和 符合 
个 性 化 的 需求 : 


line console 0 

exec-timeout 0 0 

password 7 12130F0501595C517E 
logging synchronous 


login 


命令 “exec-timeout 0 0” 表 示 永 不 超时 。 若 把 此 命令 中 的 最 后 一 个 “0” 改 为 
“10”， 则 表示 通过 Console 口 登录 后 ， 无 操作 10 秒 后 就 会 超时 登 出 。 这 时 若 还 想 
登录 到 交换 机 ， 就 必须 重新 输入 密码 再 次 进行 登录 。 这 种 功能 可 以 避免 因 管理 人 
员 短 时 间 离 开 ， 回 来 时 还 需要 重新 输入 密码 。 尤 其 是 在 密码 很 复杂 的 情况 下 ， 使 
用 这 种 命令 更 有 效 。 但 这 种 功能 也 存在 不 安全 的 因素 ， 所 以 还 是 需要 按 需 配置 。 


命令 “logging synchronous” 的 功能 是 设置 ， 在 输入 命令 时 不 会 被 系统 日 志 
消息 打 断 ， 即 阻止 烦人 的 控制 台 信 息 来 打 断 你 当前 的 输入 ， 从 而 使 输入 的 命令 更 
加 连续 ， 显 得 更 为 易 读 。 


命令 “password 7 12130F0501595C517E” 的 功能 ， 是 配置 管理 PC 在 通过 
Console 口 登录 交换 机 时 ， 必 须 通过 输入 密码 才能 登录 ， 这 也 是 为 了 防止 其 他 非 
授权 的 用 户 通过 Console 口 访问 路 由 器 或 者 交换 机 。 
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5. 总 结 


(1) 从 安全 角度 考虑 。 首 先 ， 使 用 串口 管理 网 络 设备 ， 是 最 安全 的 方式 ， 因 
为 它 是 用 电脑 和 设备 直接 相连 ， 而 不 是 通过 远程 登录 到 设备 上 。 配 置 的 命令 和 
关键 性 的 口令 只 在 设备 和 电脑 之 间 直 接 传输 ， 而 不 会 通过 其 他 的 网 络 设备 ， 这 
也 从 根本 上 杜绝 了 一 些 “ 中 间 人 ”的 攻击 。 其 次 ， 若 是 使 用 SSH 方 式 远程 登录 管 
理 网 络 设备 ， 也 是 比较 安全 的 方式 ， 因 为 SSH 协 议 对 所 有 的 数据 都 进行 了 加 密 处 
理 ， 而 不 是 以 明文 的 方式 在 网 络 上 传输 ， 若 是 对 安全 性 要 求 很 高 的 话 ， 还 可 以 结 
合 SSH 使 用 专门 的 认证 服务 器 ， 结 合 公 钥 和 私 钥 体 制 ， 也 可 以 消除 “中 间 人 ”的 
攻击 威胁 。 最 后 ，WEB 管 理 方式 和 远程 Telnet 管 理 方式 一 般 来 说 是 最 不 安全 的 方 
式 ， 不 过 WEB 方 式 若 是 通过 HTTPS 方 式 进行 管理 的 话 ， 安 全 性 基本 和 SSH 方 式 
一 致 。 但 是 用 HTTP 方 式 管理 ， 管 理 用 户 的 电脑 和 网 络 设备 之 间 所 传输 的 数据 也 
都 是 没 经 过 加 密 的 ， 不 推荐 使 用 这 种 方式 。Telnet 方 式 也 是 不 安全 的 管理 方式 ， 
目前 在 很 多 软件 中 默认 都 是 不 支持 Telnet 功 能 的 ， 因 为 它 给 用 户 带 来 了 很 多 潜在 
的 威胁 ， 像 Windows 7 默认 安装 完成 后 ， 是 不 能 使 用 Telnet 功 能 ， 这 也 是 微软 给 用 
户 考 虑 细致 、 周 到 的 地 方 。 若 是 用 户 的 网 络 存在 很 多 的 安全 风险 和 漏洞 ， 就 一 定 
不 要 使 用 Telnet 方 式 管理 网 络 设备 。 


(2) 从 易 用 性 角度 考虑 。 首 先 ，WEB 管 理 方式 对 网 络 设备 进行 管理 ， 全 都 是 
以 窗口 界面 进行 操作 ， 比 较 直 观 、 容 易 理解 和 掌握 。 不 过 ，WEB 方 式 提供 的 可 
配置 操作 命令 比较 少 ， 一 般 只 有 很 少 一 部 分 常用 的 操作 命令 可 以 通过 WEB 方 式 
操作 完成 ， 绝 大 部 分 的 命令 还 得 以 命令 行 的 方式 进行 配置 。 所 以 ， 一 般 很 少 能 看 
到 网 络 高 手 通过 WEB 方 式 对 网 络 设备 进行 管理 配置 ， 他 们 都 是 飞速 地 敲 着 各 种 
命令 ， 从 而 让 网 络 设备 以 他 们 的 要 求 去 运行 。 


其 次 ， 若 用 户 的 网 络 环境 非常 安全 的 话 ， 比 如 是 一 个 小 型 或 中 型 的 局 域 网 
没有 和 外 界 的 Internet 进 行 连通 的 话 ， 使 用 Telnet 方 式 管理 网 络 设备 也 是 非常 方便 
的 。 因 为 它 需要 在 网 络 设 备 上 配置 的 命令 比较 少 ， 而 且 在 管理 PC 上 不 需要 安装 
特别 的 终端 软件 ， 基 本 上 在 Linux 系 统 和 Windows 系 统 上 都 支持 Telnet 功 能 ， 这 样 
就 可 以 在 网 络 中 的 任何 一 台 PC 上 对 所 有 的 网 络 设备 进行 远程 管理 。 最 后 ， 虽 然 
WEB 管 理 和 Telnet 方 式 易 用 ， 但 是 在 目前 复杂 度 不 断 提高 的 各 种 网 络 环境 中 ， 还 
是 推荐 用 户 使 用 SSH 方 式 对 网 络 设备 进行 配置 ， 因 为 安全 问题 往往 就 发 生 在 一 些 
不 严谨 的 操作 规程 当中 ， 一 个 很 小 的 安全 问题 很 可 能 会 导致 全 网 的 崩溃 。 所 以 
安全 无 小 事 ! 这 句 话 同样 适用 于 网 络 管理 工作 。 
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3.5” 运 维 实例 : 一 起 连接 错误 ， 导 致 网 络 崩 湿 


公司 有 两 个 完全 隔离 的 网 络 系统 ， 内 网 和 外 网 。 内 网 的 主要 作用 是 处 理 一 
些 安全 性 要 求 比较 高 ， 有 保密 性 的 事务 。 并 且 ， 内 网 上 有 很 多 服务 器 ， 如 DNS、 
WEB、 邮 件 、 人 事 、 档 案 等 服务 器 ， 这 些 服务 器 对 公司 业务 的 正常 运转 都 至 关 
重要 ， 所 以 一 定 要 保证 它们 的 安全 性 、 稳 定性 和 可 靠 性 。 而 公司 的 外 网 主要 是 让 
办 公 人 员 访 问 互 联网 、 在 Intemet 下 载 资料 和 外 单位 联系 时 使 用 。 


1. 公司 网 络 概况 


公司 内 网 的 核心 层 交 换 机 使 用 的 是 Cisco4507R， 在 Cisco4507R 上 接 有 多 个 服 
务 器 。 内 网 的 接 入 层 交 换 机 使 用 的 是 Cisco3750。 内 网 中 下 地 址 使 用 的 是 A 类 私有 
地 址 ， 其 中 内 网 的 DHCP 服 务 器 全 地 址 为 10.1.1.1/24。 客 户 端 都 是 自动 从 DHCP 服 务 
器 获取 也 地 址 、DNS 和 默认 网 关 地 址 。 内 网 的 结构 示意 图 如 图 3-17 所 示 。 


10.1.1.1/24 
Web Server 


Cisco3750 Cisco3750 


图 3-17 公司 内 网 结构 图 
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外 网 的 核心 层 交换 机 使 用 的 是 Cisco4503。 外 网 的 结构 相对 内 网 要 简单 许 
多 ， 因 为 只 要 保证 用 户 能 访问 互联 网 就 行 ， 在 安全 性 和 稳定 性 方面 要 求 比较 低 。 
外 网 中 的 接 入 层 交换 机 使 用 的 是 Cisco2960。IP 地 址 使 用 的 是 B 类 私有 地 址 。 外 网 
中 只 使 用 了 一 台 服 务 器 ， 即 DHCP 服 务 器 ， 亿 地 址 为 172.16.1.1/24。 同 样 ， 外 网 中 
的 客户 端 也 是 自动 人 DHCP 服务 器 上 获取 IP 地 址 、DNS 和 默认 网 关 地 址 。 外 网 的 
网 络 结构 图 如 图 3-18 所 示 。 


mn 
se Cisco4503 
NIZ 


2 


图 3-18 ”公司 外 网 结构 图 


2. 故障 发 生 的 过 程 


公司 的 内 网 和 外 网 在 客户 端 接 入 时 ， 有 的 办 公 室 要 接 入 网 络 中 的 电脑 数量 比 
房间 中 的 信息 点 数量 要 多 。 这 样 如 果 不 扩展 房间 中 信息 点 数量 ， 就 不 能 保证 所 有 
的 电脑 都 连接 到 网 络 中 。 在 这 种 情况 下 ， 我 们 使 用 了 TP-Link 的 8 端口 交换 机 。 交 
换 机 的 一 个 端口 上 连 到 办 公 室内 网 或 外 网 中 的 一 个 信息 点 上 ， 这 样 交 换 机 上 的 
其 他 7 个 端口 就 可 以 直接 连接 到 用 户 的 电脑 上 ， 有 效 地 扩展 了 办 公 室 中 信息 点 的 
数量 。 

引起 网 络 崩 溃 的 错误 连接 发 生 在 同一 个 办 公 室 中 。 错 误 连 接 的 示意 图 如 图 
3-19 所 示 。 因 为 这 个 办 公 室 中 的 内 网 和 外 网 的 信息 点 都 很 少 ， 所 以 在 用 户 接 入 内 
网 和 外 网 时 ， 都 使 用 了 一 个 IP-Link 的 8 端口 交换 机 。 发 生 故 障 前 ， 办 公 室 一 用 户 
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发 现 自己 的 电脑 不 能 访问 互联 网 ， 就 在 不 明白 网 络 运行 原理 的 情况 下 ， 看 到 房间 
中 有 两 个 TP-Link 交 换 机 ， 错 误 的 认为 是 因为 这 两 个 小 交换 机 没有 连接 起 来 而 引 
起 的 故障 ， 就 找 了 一 根 网 线 ， 把 两 个 TP-Link 交 换 机 连 了 起 来 ， 结 果 导 致 公 司 内 
网 和 外 网 大 面积 的 网 络 崩 溃 。 


~ 站 品 覆 下 避 


图 3-19 引起 网 络 崩 省 的 错误 连接 示意 图 


3. 故障 发 生 的 现象 和 故障 的 排除 

(1) 故 障 发 生 的 现象 。 故 障 发 生 后 ， 很 多 用 户 打 电 话说 不 能 访问 网 络 。 有 的 
不 能 访问 内 网 ， 有 的 不 能 访问 外 网 。 到 故障 现场 查看 不 能 正常 访问 的 电脑 后 ， 发 
现 内 网 中 的 电脑 获取 到 的 都 是 外 网 的 人 P 地 址 ， 即 172 开 头 的 地 址 。 而 外 网 中 的 用 
户 获取 到 的 都 是 内 网 的 耳 地 址 ， 即 10 开 头 的 地 址 。 所 以 我 们 根据 故障 现象 ， 初 步 
断定 是 哪个 办 公 室 中 把 内 网 和 外 网 连接 到 了 一 起 。 

(2) 故 障 的 排除 。 确 定 了 发 生 故 障 的 原因 后 ， 下 一 步 就 是 找 出 在 哪个 办 公 室 
中 把 内 网 和 外 网 连接 到 了 一 起 。 但 是 ， 可 能 引起 错误 连接 的 办 公 室 有 好 几 十 个 ， 
总 不 能 一 个 一 个 去 排查 ， 这 样 效 率 太 低 。 


后 来 ， 我 们 在 机 房 中 ， 逐 一 拔 掉 连 接 配 线 架 端 口 和 交换 机 端口 的 每 根 网 线 ， 
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若 拔 掉 某 个 办 公 室 配 线 架 上 的 网 线 后 ， 公 司 的 网 络 恢复 正常 ， 那 就 是 这 个 办 公 室 
中 把 内 网 和 外 网 连接 到 了 一 起 。 后 来 我 们 用 这 种 办 法 找到 了 引起 错误 连接 的 那个 
办 公 室 ， 和 开始 的 推测 完全 一 样 ， 确 实 有 人 私自 把 内 网 和 外 网 的 两 个 TP-Link 连 
到 了 一 起 。 把 错误 的 连接 断 开 后 ， 公 司 网 络 全 部 恢复 正常 。 


4. 总 结 


(1)DHCP 服 务 器 的 工作 过 程 。 当 一 台电 脑 第 一 次 接 入 到 配置 有 DHCP 服 务 器 
的 网 络 中 时 ， 客 户 机 上 没有 任何 的 IP 数 据 设 定 ， 也 就 是 没有 IP 地 址 、DNS 和 默 
认 网 关 地 址 ， 这 时 它 会 向 网 络 中 发 出 一 个 DHCP Discover 数 据 包 。 因 为 客户 端 还 
不 知道 自己 属于 哪 一 个 网 络 ， 所 以 数据 包 的 源 地 址 为 0.0.0.0， 而 目的 地 址 则 为 
255.255.255.255 ， 向 网 络 进行 广播 。 当 客户 端 将 第 一 个 DHCP Discover 数 据 包 送 
出 去 之 后 ， 在 一 秒 之 内 若 没有 得 到 响应 的 话 ， 就 会 进行 第 二 次 DHCP Discover 数 
据 包 的 广播 。 若 一 直 得 不 到 响应 的 情况 下 ， 客 户 端 一 共 会 有 4 次 DHCP Discover 
数据 包 广 播 。 


在 DHCP 服 务 器 收 到 DHCP Discover 发 现 报 文 后 会 做 出 响应 ， 它 从 尚未 出 租 
的 人 P 地 址 中 挑选 一 个 分 配给 DHCP 客 户 机 ， 并 根据 DHCP Discover 数 据 包 中 原来 扒 
带 的 客户 机 MAC 地 址 ， 向 客户 机 发 送 一 个 包含 出 租 的 IP 地 址 、DNS 和 默认 网 关 
地 址 的 DHCP Offer 提 供 报 文 。 


如 果 网 络 中 有 多 台 DHCP 服 务 器 向 客户 机 发 来 DHCP Offer 提 供 IP 地 址 ， 则 客 
户 机 只 接受 第 一 个 收 到 的 DHCP Offer 报 文 提供 的 下 地 址 。 


(2) 深 入 分 析 导 致 网 络 骨 省 的 原因 。 从 以 上 分 析 DHCP 服 务 器 的 工作 过 程 可 
以 看 出 ， 当 网 络 中 有 两 个 DHCP 服 务 器 运行 的 时 候 ， 客 户 机 获取 IP 地 址 时 ， 哪 个 
DHCP 服 务 器 提供 的 速度 快 ， 客 户 机 就 采用 那个 DHCP 服 务 器 的 提供 的 IP 地 址 。 
所 以 ， 当 把 两 个 TP-Link 交 换 机 连接 起 来 后 ， 内 网 和 外 网 打通 ， 成 了 一 个 整体 的 
大 网 ， 并 且 网 路 中 包含 两 个 DHCP 服 务 器 ， 这 样 内 网 中 的 电脑 可 能 获取 到 的 是 外 
网 的 下 地 址 ， 而 外 网 中 的 电脑 获取 到 的 可 能 是 内 网 的 IP 地 址 。 结 果 就 导致 了 整个 
内 网 和 外 网 的 混乱 ， 客 户 机 也 就 不 能 正常 访问 网 络 了 。 


(3) 故 障 的 经 验 和 教训 。 首 先 要 加 强 客户 端的 管理 。 用 户 出 现 不 能 访问 网 络 
的 故障 ， 应 当 及 时 向 网 路 管理 部 门 上 报 ， 而 不 应 私自 处 置 。 其 次 ， 应 当 禁 止 用 户 
对 放置 在 办 公 室 中 的 TP-Link 交 换 机 上 的 网 线 私自 接 入 和 拔 出 。 
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3.6 ”和 运 维 实例 : 简单 问题 ， 艰 难 解决 


作为 一 名 网 络 工程 师 ， 并 不 仅仅 是 坐 在 电脑 前 利用 远程 控制 ， 在 交换 机 、 
路 由 器 或 安全 设备 上 输入 、 执 行 一 些 命令 就 能 完成 所 有 的 工作 。 有 时 网 络 运 维 师 
的 工作 更 多 的 是 一 些 体力 活 ， 搬 着 东西 跑 上 跑 下 是 常 有 的 事 。 下 面 就 通过 一 则 实 
例 ， 向 你 呈现 网 络 运 维 师 工作 最 真实 的 一 面 。 


1. 需要 解决 的 问题 


如 图 3-20 所 示 ，101 和 102 两 个 办 公 室 ，101 办 公 室 墙 上 有 一 个 信息 插座 ， 信 
息 插 座 上 有 一 个 网 口 和 一 个 电话 口 ， 型 号 分 别 时 RJ-45 和 RJ-11， 就 是 分 别 接 网 线 
和 电话 线 的。 目前 大 部 分 的 办 公 室 ， 包 括 家 庭 中 上 网 使 用 的 都 是 这 种 信息 插座 。 
不 过 ， 在 家 庭 中 使 用 ADSL 上 网 的 话 ， 一 般 是 使 用 电话 线 插 在 信息 插座 的 电话 口 
上 ， 电 话 线 的 另 一 头 接 ADSL 猫 ， 然 后 从 ADSL 猫 的 网 口上 再 引出 一 根 网 线 接 到 
家 里 的 电脑 上 就 可 以 访问 互联 网 了 。 


图 3-20 需要 解决 网 络 问题 的 图 示 
但 是 在 单位 一 般 是 通过 局 域 网 的 方式 访问 互联 网 的 。 使 用 信息 插座 上 的 网 


口 ， 把 一 根 网 线 的 一 头 接 到 电脑 的 网 卡 ， 另 一 头 接 信息 插座 的 RJ-45 口 就 可 以 上 
网 了 。 
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从 图 3-20 中 可 以 看 出 ， 现 在 101 办 公 室 的 墙 上 有 信息 插座 ， 用 户 可 以 正常 访 
问 互 联网 。 但 是 在 102 办 公 室 的 墙 上 根本 就 没有 信息 插座 ， 所 以 102 办 公 室 的 用 户 
就 无 法 上 网 。 造 成 这 种 情况 ， 主 要 是 因为 102 办 公 室 的 墙 上 原来 也 是 有 信息 插座 
的 ， 可 以 通过 信息 插座 的 网 口 访问 互联 网 ， 不 过 最 近 102 办 公 室 把 内 部 进行 了 一 
次 彻底 装修 ， 装 修 时 ， 施 工 队 也 许 是 想 偷工减料 ， 也 许 是 没有 任何 的 网 络 常识 ， 
他 们 装修 完 后 ， 根 本 就 没有 在 墙 上 预 留 可 以 上 网 的 信息 插座 ， 并 且 把 原来 的 网 线 
和 信息 插座 口 都 用 水 泥 给 抹 上 了 。 


这 样 做 ， 倒 是 给 装修 人 员 带 来 了 很 大 的 便利 ， 但 是 给 我 们 网 络 维护 人 员 却 带 
来 了 灭顶 之 灾 。 现 在 102 办 公 室 的 用 户 需要 访问 互联 网 ， 你 说 怎么 办 ? 

2. 解决 问题 的 几 种 可 能 方案 

遇 到 这 种 问题 ， 我 们 马上 想到 了 以 下 三 个 方案 : 

(1) 方 案 一 ， 既 然 现在 102 办 公 室 没有 上 网 的 信息 插座 ， 那 就 重新 布线 ， 从 办 
公 楼 机 房 的 配 线 架 再 拉 一 根 网 线 到 102 办 公 室 。 

但 是 这 种 方案 很 快 就 被 否决 了 ， 对 于 一 个 已 经 装修 好 了 的 办 公 室 ， 若 要 再 重 
新 进行 布线 ， 那 就 相当 于 一 个 人 做 整容 手术 ， 没 做 好 ， 要 再 进行 一 次 整容 一 样 痛 
苦 ! 所 以 只 能 在 找 其 他 办 法 ， 这 种 方案 不 可 行 。 

(2) 方 案 二 ， 方 案 一 中 的 重新 布线 是 麻烦 ， 但 目前 101 和 102 两 个 办 公 室 之 间 
就 隔 一 堵 墙 。 现 在 在 墙 上 打 一 个 孔 ， 孔 不 用 很 大 ， 只 要 能 穿 过 一 根 网 线 即 可 。 

这 样 102 办 公 室 通过 墙 上 的 小 孔 从 101 办 公 室 扯 出 一 根 网 线 ， 网 线 的 一 头 接 
101 办 公 室 墙 上 的 信息 插座 ， 另 一 头 接 到 102 办 公 室 ， 并 连 上 电脑 就 可 以 访问 互联 
网 了 。 

但 这 种 方案 ， 很 快 又 被 否决 了 ， 因 为 102 办 公 室 在 装修 时 ， 在 挨 着 101 办 公 室 
的 那 面 墙 上 ， 全 铺 上 了 一 层 实 木板 ， 不 但 价格 很 贵 ， 而 且 也 很 漂亮 。 他 们 不 允许 
在 墙 上 钼 个 孔 ， 从 而 影响 整体 的 美观 。 

G) 方 案 三 : 因为 在 102 办 公 室 装修 时 ， 他 们 预 留 了 电话 的 信息 插座 ， 也 就 是 
有 电话 口 ， 那 让 用 户 通过 电话 线 ， 用 一 个 ADSL 猫 ， 不 就 可 以 上 网 了 吗 。 

但 是 我 们 单位 内 部 用 的 是 小 号 电话 ， 也 就 是 和 家 庭 使 用 的 电话 系统 不 太一 
样 。 并 且 单 位 用 户 访问 互联 网 都 是 通过 局 域 网 的 方式 访问 的 ， 用 户 电脑 的 网 卡 都 
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是 通过 一 根 网 线 接 到 配 线 架 ， 再 通过 配 线 架 接 到 机 房 的 交换 机 上 ， 然 后 通过 交换 机 
的 UPLINK 口 ， 再 接 入 到 互联 网 上 。 用 户 没 有 使 用 过 ADSL 的 方式 访问 互联 网 的 。 


另外 ， 用 户 若 用 ADSL 访 问 互联 网 的 话 ， 网 速 可 能 会 比较 慢 ， 这 样 用 户 也 不 
会 满意 。 所 以 这 种 方法 也 不 能 使 用 。 


3. 另外 一 种 方案 


其 实 ， 还 有 一 种 方案 ,我 们 在 刚 开始 的 时 候 就 也 已 经 想到 了 ， 那 就 是 “无 线 
方案 ”。 

无 线 方案 要 实施 起 来 ， 其 实 也 很 简单 ， 在 101 办 公 室 放 一 个 无 线路 由 器 ， 用 
一 根 网 线 ， 一 端 接 101 办 公 室 信息 插座 上 的 网 口 ， 一 端 接 到 无 线路 由 器 的 WAN 口 
上 。 然 后 再 拿 一 个 笔记 本 ， 用 一 根 网 线 连接 到 无 线路 由 器 的 LAN 口 上 ， 对 无 线路 
由 器 进行 简单 的 配置 ， 如 数据 加 密 的 类 型 ， 连 接 到 无 线 网 络 的 用 户 是 否 要 使 用 密 
码 等 。 


然后 给 路 由 器 加 电 ， 在 102 办 公 室 的 用 户 使 用 笔记 本 的 话 ， 马 上 就 能 上 网 
了 ， 因 为 现在 的 笔记 本 都 内 置 了 无 线 天 线 。 若 是 使 用 台式 机 的 话 ， 只 需 给 台式 机 
安装 一 个 USB 接 口 或 是 PCI 接 口 的 无 线 天 线 即 可 ， 这 些 设备 及 它们 的 驱动 程序 和 
无 线路 由 器 都 是 配套 的 。 所 以 ， 很 快 就 能 把 设备 安装 完成 。 如 图 3-21 所 示 ， 就 是 
最 终 安装 完 的 示意 图 。 


图 3-21 无 线 方案 图 示 


但 是 这 种 方案 ， 用 户 在 使 用 时 ， 总 反映 信号 不 是 很 好 ， 而 且 还 总 掉 线 。 知 道 
这 种 情况 后 ， 我 们 就 拿 了 一 台 笔 记 本 进行 了 测试 ， 当 笔记 本 在 101 办 公 室 使 用 无 
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线 上 网 时 信号 很 强 ， 也 不 掉 线 。 但 是 当 把 同一 台 笔 记 本 拿 到 102 办 公 室 时 ， 无 线 
信号 强度 确实 会 变 差 ， 上 网 过 程 中 也 会 发 生 掉 线 。 


后 来 ， 我 们 发 现在 102 办 公 室 里 ， 挨 着 101 办 公 室 的 那 面 墙 边 ， 摆 放 了 一 排 铁 
皮 柜 ， 我 们 觉得 可 能 是 这 排 铁皮 柜 让 无 线 信 号 减弱 了 。 然 后 ， 我 们 几 个 网 络 维护 
人 员 就 把 那 几 个 铁皮 柜 搬 开 ， 以 便 无 线路 由 器 从 101 办 公 室 发 射 到 102 办 公 室 的 信 
号 不 被 铁皮 柜 遮挡 。 


搬 开 后 ， 用 户 上 网 的 信号 是 有 所 好 转 ， 但 时 不 时 还 是 会 掉 线 ， 很 不 稳定 。 后 
来 ， 我 们 考虑 是 不 是 101 和 102 办 公 室 之 间 这 堵 墙 ， 使 无 线 信号 减弱 了 ， 或 者 是 无 
线路 由 器 的 频率 设置 有 问题 ? 我 们 想 再 进行 测试 ， 不 过 要 花费 的 时 间 比 较 长 。 但 
用 户 着 急 要 上 网 ， 根 本 没 时 间 让 我 们 做 测试 ， 所 以 我 们 只 能 再 想 别 的 办 法 ， 把 问 
题 尽快 解决 。 


4. 最 终 的 解决 方案 


就 在 我 们 觉得 不 会 有 什么 好 办 法 的 时 候 ， 突 然 看 到 ，101 办 公 室 和 102 办 公 室 
都 有 空调 在 使 用 ， 而 每 个 办 公 室 的 空调 排 气 管道 都 是 在 办 公 室 的 墙 上 钼 个 洞 ， 通 
到 了 室外 。 


所 以 ， 我 们 想到 何不 利用 空调 的 通气 管道 ， 使 用 一 根 长 网 线 ， 网 线 的 一 端 连 
接 到 101 办 公 室 的 信息 插座 上 ， 然 后 穿 过 101 办 公 室 的 空调 排 气管 道 ， 把 网 线 扯 到 
室外 ， 再 从 室外 穿 过 102 办 公 室 的 空调 排 气管 道 把 网 线 接 入 到 102 办 公 室 ， 然 后 再 
接 到 102 办 公 室 的 八 端口 HUB 上 ， 再 从 HUB 上 引出 多 根 网 线 接 入 到 用 户 的 电脑 上 
即 可 ， 如 图 3-22 所 示 。 


图 3-22 ”最 终 的 解决 方案 图 示 
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这 种 方案 ， 使 用 的 设备 也 比较 少 ， 只 使 用 了 一 根 长 网 线 和 一 个 八 端口 的 
HUB。 而 且 在 使 用 中 ， 用 户 反映 上 网 的 速度 和 稳定 性 都 很 好 。 经 过 大 半年 的 使 
用 ， 也 没有 出 现 掉 线 和 上 网 速度 慢 的 问题 。 


5. 总 结 


(一般 比较 大 的 单位 ， 在 进行 办 公 室 或 者 楼 宇 的 修建 时 ， 一 定 要 有 技术 部 
门人 员 的 参与 和 监督 。 这 里 的 技术 人 员 并 不 单单 指 网 络 方面 的 技术 人 员 。 它 包含 
的 范围 也 比较 广 ， 比 较 常见 的 ， 如 强 电 和 弱电 技术 人 员 。 强 电 主要 指 单位 的 供电 
线路 ; 弱电 主要 是 指 单位 的 电话 和 网 络 线路 。 在 招标 、 施 工 和 验收 的 各 个 环节 ， 
技术 人 员 都 要 认真 负责 ， 全 程 参与 。 有 些 施工 方 为 了 偷工减料 ， 或 者 觉得 甲 方 人 
员 的 技术 水 平 不 够 专业 ， 就 在 合同 里 做 了 手脚 ， 目 的 就 是 为 了 拿 同 样 的 钱 而 少 干 
点 活 。 这 样 做 的 结果 常常 是 给 施工 方 带 来 了 好 处 ， 但 却 给 单位 的 技术 人 员 带 来 了 
无 尽 的 麻烦 。 


因为 有 时 为 了 在 办 公 室 与 机 房 之 间架 设 一 根 网 线 ， 或 者 在 楼 与 楼 之 间架 设 一 
条 光纤 ， 通 常 要 花 几 天 ， 甚 至 几 个 月 的 时 间 。 这 些 问 题 若 是 在 办 公 室 或 楼 宇 刚 开 
始 修建 的 时 候 ， 都 能 考虑 全 面 的 话 ， 则 会 给 网 络 技术 人 员 节 省 很 多 的 时 间 。 


(2) 网 络 运 维 师 本 身 的 定义 和 工作 的 内 容 需 要 清晰 的 界定 。 现 在 ， 大 部 分 从 
事 网 络 运 维 师 工作 的 ， 在 单位 工作 的 内 容 ， 其 实 并 不 单单 是 网 络 工作 。 单 位 比 
较 小 的 话 ， 可 能 网 络 运 维 师 要 把 IT 部 门 所 有 的 工作 都 包 了 ， 除 了 维护 单位 的 网 络 
外 ， 还 要 维修 主机 、 打 印 机 ， 维 护 服务 器 、 应 用 系统 以 及 负责 全 方面 的 工作 ;， 比 
较 大 的 单位 可 能 在 业务 分 配 上 更 专业 一 点 ， 但 也 没有 达到 只 从 事 网 络 维护 工作 ， 
只 不 过 不 做 主机 和 打印 机 维修 方面 的 工作 ， 其 他 的 还 都 要 干 ， 只 从 事 网 络 工作 
的 ， 可 能 只 是 在 中 国电 信 、 中 国联 通 这 样 的 大 单位 才能 达到 。 


从 专业 性 和 工作 的 效率 上 来 讲 ， 网 络 运 维 师 应 该 只 从 事 和 网 络 有 关 的 工作 。 
可 是 在 现实 当中 往往 并 不 是 这 样 ， 大 家 觉得 网 络 运 维 师 什么 都 可 以 干 ， 什 么 都 应 
该 干 。 网 络 运 维 师 不 仅 要 解决 和 网 络 有 关 问 题 ， 还 要 解决 其 他 和 网 络 无 关 的 问 
题 。 就 像 上 面 提 到 的 问题 ， 利 用 最 后 一 种 方案 是 把 问题 彻底 解决 了 。 我 们 在 把 长 
网 线 通过 空调 管道 引入 到 102 办 公 室 时 ， 是 要 有 人 有 疏 到 窗户 外 边 操作 的 ， 这 很 困 
难 也 很 危险 ， 因 为 两 个 办 公 室 并 不 在 一 层 ， 都 是 高 空 作业 ， 应 当 要 有 专业 人 员 去 
完成 的 ， 但 现实 中 都 是 由 网 络 运 维 师 自己 去 做 的 。 
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这 种 分 工 上 的 不 明确 ， 往 往 会 导致 工作 效率 的 低下 。 什 么 都 想 做 ， 其 实 什么 
都 做 不 好 。 网 络 运 维 师 觉得 自己 只 应 该 做 网 络 方面 的 工作 ， 而 周围 的 人 觉得 什么 
都 应 该 做 ， 结 果 就 是 纠纷 不 断 ， 任 何 工作 都 不 能 高 质量 、 高 效率 地 完成 。 


若是 能 界定 网 络 运 维 师 的 定义 和 工作 的 内 容 ， 并 得 到 大 家 都 认可 ， 那 就 会 
好 很 多 。 目 前 网 络 运 维 师 的 定义 在 国内 比较 权威 的 定义 是 : “从 事 计 算 机 网 络 运 
行 、 维 护 的 人 员 ”， 而 国际 上 比较 权威 的 定义 是 : “规划 、 监 督 、 控 制 网 络 资源 
的 使 用 和 网 络 的 各 种 活动 ， 以 使 网 络 的 性 能 达到 最 优 ”。 若 网 络 运 维 师 和 网 络 运 
维 师 服务 的 对 象 都 能 按照 上 面 定义 要 求 别 人 和 要 求 自己 的 话 ， 那 我 们 网 络 运 维 师 
工作 的 方方面面 就 会 得 到 很 大 的 改善 。 


3.7 ”和 运 维 实例 : 多 台电 脑 共 享 上 网 


公司 一 办 公 室 开始 只 有 一 台电 脑 通过 ADSL Modem 上 Intemet， 后 来 办 公 室 又 
添 了 一 台电 脑 ， 也 想 通 过 ADSL Modem 上 Internet， 我 就 按照 图 3-23 所 示 把 电话 线 
和 网 线 都 连接 好 ， 只 是 多 使 用 了 一 个 HUB。 


电话 线 


ADSL MODEMW == 


六 
图 3-23 ”环境 


但 是 连 好 后 ， 在 原来 电脑 上 “控制 面板 ”中 的 “网 络 连接 ”， 双 击 “ 宽 带 连 
接 ” 后 ， 输 入 正确 的 用 户 名 和 密码 ， 点 连接 后 ， 电 脑 可 以 正常 访问 互联 网 ， 但 是 
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另外 一 台电 脑 却 不 能 正常 访问 。 


后 来 我 查 了 些 资 料 ， 才 知道 上 面 这 种 配置 模式 上 网 使 用 的 是 ADSL Modem 的 
“桥接 ”模式 ， 如 图 3-24 所 示 。 这 种 模式 只 能 保证 一 台电 脑 访问 互联 网 ， 而 且 每 
次 上 网 前 都 要 双击 “宽带 连接 ”， 连 接 后 才能 上 网 。 


WAN 配 置 
Eck 

区 区 
VCI 35 

启用 Yes 
模式 桥接 
协议 RFC2684 
封装 格式 LLC 


图 3-24 “桥接 ”模式 


要 想 让 两 台电 脑 都 能 访问 互联 网 ， 可 以 把 ADSL Modem 设 置 成 路 由 模式 ， 
如 图 3-25 所 示 。 现 在 大 多 数 的 ADSL Modem 都 有 路 由 模式 功能 ， 一 般 默认 情况 
下 ， 在 连接 ADSL Modem 的 电脑 浏览 器 地 址 栏 中 输入 http://192.168.1.1 后 就 能 进入 
ADSL Modem 的 WEB 界 面 控制 台 ， 进 行 相应 的 设置 。 填 上 正确 的 用 户 名 和 密码 
后 点 保存 即 可 。 


VPI 攻 
VCcI 55 

局 用 Yes 

模式 路 由 了 | 

协议 PPPoE | 

封装 格式 LLC 

服务 商 名 称 1SP123 

用 户 名 huawei123 

密码 ee 

PPP 认 证 AUTO 同 


图 3-25 WAN 配 置 


使 用 路 由 模式 还 有 一 个 好 处 就 是 ， 每 次 开机 上 网 ， 不 用 再 双击 “宽带 连接 ” 
进行 连接 了 ， 只 要 开机 后 电脑 会 自动 进行 连接 ， 包 括 电脑 了 地址 、DNS 服 务 器 地 
址 等 都 是 自动 获取 。 不 过 若 ADSL 不 是 包月 的 用 户 ， 要 注意 不 上 网 时 关闭 ADSL 
Modem， 以 避免 不 必要 的 费用 。 
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3.8” 运 维 实例 : 巧妙 利用 双 绞 线 中 闲置 的 数据 线 


公司 因 工作 需要 ， 新 聘用 了 一 名 工作 人 员 ， 我 负责 为 其 搭建 能 访问 Internet 
的 网 络 连接 。 经 过 测试 他 房间 中 的 信息 插座 和 机 房 配 线 架 之 间 的 双 绞 线 中 ， 第 
1、2 根 数据 线 故障 ， 不 能 传输 数据 ， 正 好 影响 到 双 绞 线 中 用 来 传输 数据 的 第 1、 
2、3、6 根 中 的 两 根 。 


刚 开始 想到 用 一 个 具有 5 端口 的 D-Link 小 交换 机 进行 连 线 ， 因 房间 中 还 有 一 
位 工作 人 员 通 过 另外 一 个 信息 插座 ， 能 正常 访问 Intemet。 用 一 根 网 线 连接 D-Link 
交换 机 和 房间 中 正常 的 信息 插座 ， 然 后 再 用 两 根 网 线 分 别 连接 房间 内 两 位 工作 人 
员 的 电脑 和 D-Link 交 换 机 即 可 。 


但 后 来 突然 想到 ， 双 绞 线 中 第 4、5、7、8 根 是 闲置 的 ， 何 不 利用 闲置 中 的 两 
根来 代替 故障 的 第 1、2 根 数据 线 来 传输 数据 ， 所 以 就 有 了 如 图 3-26 所 示 的 方案 。 


图 3-26 ”利用 闲置 数据 线 传输 数据 连接 图 
图 3-26 所 示 方案 其 实 就 是 用 配 线 架 和 信息 插座 网 口 之 间 闲 置 的 第 4、5 根 数据 线 ， 
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传递 已 故障 的 第 1、2 根 数据 线 中 原 有 的 数据 ， 从 而 避免 再 使 用 一 D-Link 交换 机 。 


安全 无 小 事 ， 对 于 计算 机 网 络 更 是 这 样 ， 网 络 安全 有 问题 ， 基 础 的 网 络 设 
施 建 设 的 再 好 ， 可 能 都 会 引起 致命 的 问题 。 网 络 安全 问题 ， 主 要 包括 防火 墙 、 
UTM、SSL VPN 和 入 侵 检测 等 设备 。 不 同 的 安全 设备 ， 用 途 也 完全 不 一 样 。 防 火 
墙 是 最 普遍 、 也 是 最 常见 的 安全 设备 ， 他 的 功能 就 和 家 里 院 墙 的 功能 类 似 ， 院 墙 
可 以 把 强盗 、 小 偷 等 坏人 拒 之 墙 外 。 同 理 ， 防 火 墙 也 可 以 把 互联 网 上 大 部 分 的 安 
全 威胁 拒 之 “网 ”外 。 


目前 ， 普 通 的 防火 墙 ， 主 要 是 针对 网 络 卫 地址 和 端口 号 做 的 安全 防护 。 用 户 
在 互联 网 上 访问 本 单位 内 部 的 应 用 系统 肯定 会 经 过 防火 墙 设备 ， 而 且 他 访问 内 部 
的 应 用 系统 ， 肯 定 是 访问 应 用 系统 对 应 的 耳 地 址 和 端口 号 ， 只 要 在 防火 墙 上 添加 
策略 ， 只 允许 用 户 能 访问 此 应 用 系统 的 耳 地 址 和 端口 ， 对 访问 其 他 的 应 用 的 卫 和 
端口 ， 一 概 拒绝 通过 。 这 就 好 比 有 许多 人 想到 你 家 里 去 ， 但 只 允许 到 你 家 里 找 特 
定 的 人 ， 并 说 特定 的 事 的 人 才能 进 你 家 门 ， 这 里 你 要 找 的 那个 特定 的 人 就 相当 于 
JP 地 址 ， 特 定 的 事 就 相当 于 端口 号 ， 并 不 是 说 所 有 想 进 你 家 门 的 人 他 就 能 进 的 
这 也 就 是 普通 防火 墙 的 作用 。 


SSL VPN 就 相当 于 给 互联 网 上 的 用 户 提供 了 一 个 访问 单位 内 部 应 用 系统 的 
安全 通道 ， 只 要 你 的 电脑 能 上 互联 网 ， 你 有 访问 单位 内 部 应 用 系统 的 权限 ， 使 
用 SSL VPN 你 就 能 够 实现 和 在 单位 内 部 访问 应 用 系统 同样 的 体验 ， 这 也 就 是 SSL 
VPN 的 魅力 所 在 ， 它 大 大 扩展 了 远程 办 公 应 用 范围 ， 只 要 有 互联 网 ， 在 家 使 用 
SSL VPN 办 公 和 在 单位 办 公 体 验 几 乎 一 样 。 目 前 ，SSL VPN 的 使 用 已 经 非常 普 
遍 ， 尤 其 是 在 网 上 银行 、 手 机 银行 和 互联 网 金融 方面 ， 更 是 无 所 不 在 。 


IDS 和 IPS 也 是 最 常见 的 网 络 安全 设备 ， 所 不 同 的 是 前 者 只 有 报警 提醒 功能 ， 
不 具备 执行 和 截断 功能 ， 而 后 者 报警 和 执行 功能 都 具备 。 比 如 说 IDS 发 现 有 入 侵 
行为 ， 它 只 能 把 入 侵 的 情况 报告 给 网 络 运 维 人 员 ， 至 于 怎么 处 理 入 侵 ，IDS 是 无 
能 为 力 的 。 而 IPS 不 但 能 发 现 ， 还 能 够 对 入 侵 采 取 措施 ， 这 是 IDS 所 不 具备 的 。 另 
外 ， 在 部 署 上 二 者 也 有 所 不 同 ，IDS 一 般 是 连接 在 交换 机 的 镜像 口上 ， 而 IPS 是 绝 
对 不 能 部 署 在 镜像 口上 的 ， 要 不 然 IPS 的 功能 就 会 大 打折 扣 ， 因 为 镜像 口上 是 不 
能 有 执行 和 操作 功能 的 ， 它 只 是 把 镜像 口上 的 数据 复制 到 安全 设备 上 ， 供 安全 设 
备 分 析 研 究 ， 除 此 别 无 其 他 功能 。 网 络 安全 设备 具体 的 用 途 和 使 用 方法 ， 请 看 官 
接着 往 下 阅读 。 
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4.1 运 维 实例 : 网 络 安全 设备 的 3 种 管理 模式 


目前 ， 随 着 互联 网 的 高 速 发 展 ， 网 络 已 深入 到 人 们 生活 的 各 个 方面 。 网 络 
带 给 人 们 诸多 好 处 的 同时 ， 也 带 来 了 很 多 隐患 。 其 中 ， 安 全 问题 就 是 最 突出 的 一 
个 。 但 是 许多 信息 管理 者 和 信息 用 户 对 网 络 安全 认识 不 足 ， 对 网 络 上 的 攻击 和 防 
护 知识 缺乏 足够 的 认识 和 了 解 ， 他 们 把 大 量 的 时 间 和 精力 用 于 提升 网 络 的 性 能 和 
效率 方面 ， 结 果 导 致 黑客 攻击 、 恶 意 代 码 、 邮 件 炸 弹 等 越 来 越 多 的 安全 威胁 。 


为 了 防范 各 种 各 样 的 安全 问题 ， 许 多 网 络 安全 产品 也 相继 在 网 络 中 得 到 推 
广 和 应 用 。 针 对 系统 和 软件 的 漏洞 ， 有 漏洞 扫描 产品 ， 为 了 让 因特网 上 的 用 户 能 
安全 、 便 捷 地 访问 公司 的 内 部 网 络 ， 就 有 了 SSL VPN 和 IPSec VPN 的 使 用 ; 为 了 
防止 黑客 的 攻击 入 侵 ， 就 有 了 入 侵 防 御 系 统 和 入 侵 检 测 系统 ， 而 使 用 范围 最 为 广 
泛 的 防火 墙 ， 常 常 是 作为 网 络 安全 屏障 的 第 一 道 防线 。 网 络 中 安全 设备 使 用 的 增 
多 ， 相 应 地 在 设备 的 管理 上 就 日 益 复杂 。 下 面 就 通过 一 则 实例 ， 并 结合 网 络 的 规 
模 和 复杂 程度 ， 详 细 阐 述 网 络 中 安全 设备 管理 的 3 种 模式 。 


1. 公司 网 络 架 构 
]) 总 架构 


网 络 结构 图 如 图 4-1 所 示 。 为 了 确保 重要 设备 的 稳定 性 和 宛 余 性 ， 核 心 层 交 
换 机 使 用 两 台 Cisco4510R， 通 过 Trunk 线 连接 。 在 接 入 层 使 用 了 多 台 Cisco3560-E 
交换 机 ， 图 示 为 了 简洁 ， 只 画 出 了 两 台 。 在 核心 交换 机 上 连接 有 单位 重要 的 
服务 器 ， 如 DHCP、E-MAIL 服 务 器 、WEB 服 务 器 和 视频 服务 器 等 。 单 位 IP 地 
址 的 部 署 ， 使 用 的 是 C 类 私有 192 网 段 的 地 址 。 其 中 ，DHCP 服 务 器 的 地 址 为 
192.168.11.1/24。 在 网 络 的 核心 区 域 部 署 有 单位 的 安全 设备 ， 安 全 设备 也 都 是 通 
过 Cisco3560-E 交 换 机 接 入 到 核心 交换 机 4510R 上 ， 图 4-1 中 为 了 简洁 ， 没 有 画 出 
3560-E 交 换 机 。 
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图 4-1 网 络 结构 图 


2) 主 要 网 络 设备 配置 


网 络 主要 分 为 业务 网 和 办 公 网 ， 业 务 网 所 使 用 VLAN 的 范围 是 VLAN 
21~VLAN 100， 办 公 网 所 使 用 的 VLAN 范 围 是 VLAN 101~~VLAN 200。 两 个 网 
都 是 通过 两 台 核心 交换 机 4510 交 换 数 据 的 ， 但 在 逻辑 上 是 相互 隔离 的 。 服 务 器 都 
是 直接 连接 到 4510 上 ， 所 使 用 的 VLAN 范 围 是 VLAN 11 一 VLAN 20。 安 全 设备 所 
使 用 的 VLAN 范 围 是 VLAN 2 一 VLAN 10。 


(D 在 业务 网 中 ， 根 据 部 门 性 质 的 不 同 ， 在 Cisco4510 和 Cisco3560 上 做 相应 的 
配置 ， 把 它们 划分 到 不 同 的 VLAN 中 。 下 面 以 业务 网 中 VLAN 21 的 配置 为 例 ， 列 
出 其 相关 命令 ， 首 先是 在 Cisco3560E-A 上 的 配置 如 下 所 示 : 


Cisco3560E-A#vlan database 
Cisco3560E-A (VLAN) #VLAN 21 // 创 建 VLAN 21 


VLAN 21 added: 
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Name: VLAN00021 

Cisco3560E-A (VLAN) #exit 

Cisco3560E-A# configure terminal 

Enter configuration commands, one per line. End with CNTL/2Z. 
Cisco3560E-A (config)#interface range gigabitEthernet 1/0/1-24 
// 对 3560 上 1 至 24 端 口 同 时 进行 配置 

Cisco3560E-A (config-if-range)# switchport 

Cisco3560E-A (config-if-range)#switchport access VLAN 21 


// 把 3560 上 1 至 24 端 口 都 划 入 VLAN 21 


Cisco4510A 上 的 配置 如 下 所 示 : 


Cisco4510A (config)#interface VLAN 21 

Cisco4510A (config-if)#ip address 192.168.21.252 255.255.255.0 
// 创 建 VLAN 21 的 SVI 接 口 ， 并 指定 TP 地 址 

Cisco4510A (config-if)#no shutdown 

Cisco4510A (config-if)ip helper-address 192.168.11.1 

// 配 置 DHCP 中 继 功 能 

Cisco4510A (config-if)standby 21 priority 150 preempt 
Cisco4510A (config-if)standby 21 ip 192.168.21.254 


// 配 置 VLAN 21 的 HSRP 参 数 


(2) 同 样 在 办 公 网 中 ， 也 是 根据 部 门 性 质 的 不 同 ， 把 它们 划分 到 不 同 的 VLAN 中 ， 
下 面 是 办 公 网 中 VLAN 101 的 配置 ， 首 先是 在 Cisco3560E-B 上 的 配置 如 下 所 示 : 
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Cisco3560E-B#vlan database 

Cisco3560E-B (VLAN) #VLAN 101 // 创 建 VLAN 101 

VLAN 101 added: 

Name: VLAN000101 

Cisco3560E-B (VLAN) #exit 

Cisco3560E-B# configure terminal 

Enter configuration commands, one per line. End with CNTL/2Z. 
Cisco3560E-B (config)#interface range gigabitEthernet 1/0/1-24 
// 对 3560 上 1 至 24 端 口 同 时 进行 配置 

Cisco3560E-B (config-if-range)# switchport 

Cisco3560E-B (config-if-range)#switchport access VLAN 101 


// 把 3560 上 1 至 24 端 口 都 划 入 VLAN 101 


Cisco4510B 上 的 配置 如 下 所 示 : 


Cisco4510B (config)#interface VLAN 101 

Cisco4510B (config-if)#ip address 192.168.101.252 255.255.255.0 
// 创 建 VLAN 101 的 SVI 接 口 ， 并 指定 IP 地 址 

Cisco4510B (config-if)#no shutdown 

Cisco4510B (config-if) ip helper-address 192.168.11.1 

// 配 置 DHCP 中 继 功 能 

Cisco4510B (config-if) standby 101 priority 150 preempt 
Cisco4510B (config-if)standby 101 ip 192.168.101.254 


// 配 置 VLAN 101 的 HSRP 参 数 
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2. 网 络 安全 设备 管理 的 三 种 模式 
1) 第 一 种 模式 : 安全 管理 PC 直接 与 安全 设备 进行 连接 


如 图 4-2 所 示 ， 网 络 中 共有 4 台 安 全 设备 : 漏洞 扫描 、IDS、IPS 和 防火 墙 ， 若 
要 对 其 中 的 一 台 安 全 设备 进行 管理 配置 ， 就 得 把 电脑 直接 连接 到 安全 设备 上 ， 这 
种 模式 通常 有 以 下 两 种 连接 管理 方式 : 


漏洞 扫描 IPS oy 
yy A > 
安全 管理 
PC 
4510A 4510B 
fm < 
-> <> 


IDS Firewall 
图 4-2 ”安全 管理 PC 和 安全 设备 直接 相连 


(]) 串 口 连接 管理 。 通 过 CONSOLE 口 直接 连接 到 安全 设备 上 ， 对 其 进行 本 地 
管理 配置 。 这 也 是 一 种 安全 、 可 靠 的 配置 维护 方式 。 当 安全 设备 初次 上 电 、 与 外 
部 网 络 连接 中 断 或 出 现 其 他 异常 情况 时 ， 通 常 采用 这 种 方式 配置 安全 设备 。 配 置 
步骤 如 下 : 


将 安全 管理 PC 的 串口 与 安全 设备 的 CONSOLE 口 连接 ， 然 后 在 PC 机 上 运行 
终端 仿真 程序 ， 如 Windows 系 统 中 的 超级 终端 ， 或 者 使 用 SecureCRT 应 用 程序 。 
然后 在 终端 仿真 程序 上 建立 新 连接 。 


选择 实际 连接 安全 设备 时 ， 使 用 的 安全 管理 PC 上 的 串口 ， 配 置 终端 通信 参 
数 ， 默 认 情 况 下 都 是 : 9600 波 特 、8 位 数据 位 、1 位 停止 位 、 无 校 验 、 无 流 控 。 
对 安全 设备 进行 上 电 自 检 ， 系 统 自动 进行 配置 ， 自 检 结束 后 提示 用 户 键入 回 
车 ， 直 到 出 现 命令 行 提示 符 。 然 后 就 可 键入 命令 ， 配 置 安全 设备 ， 或 者 查看 其 运 
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行 状态 。 


上 面 连接 方式 中 的 配置 参数 ， 是 一 般 情况 下 使 用 较 多 的 一 种 ， 但 对 于 不 同 设 
备 可 能 会 有 不 同 的 设置 ， 例 如 对 于 防火 墙 ， 联 想 的 连接 参数 就 和 上 面 不 一 致 ， 如 
图 4-3 所 示 。 


Enter the data necessary to nake a serial connection 
Port: on] Flow Control 


Baud rate: 38400 Er/osn 
rrs/crs 


Data bits: 四 xomyxopF 


Parity: 
Stop bits: 


《上 =- 步 @) 


图 4-3 ”终端 仿真 程序 连接 安全 设备 的 参数 设 定 


波 特 率 必须 选择 38400， 而 且 不 能 选择 “RTS/CTS”。 其 他 的 参数 都 和 上 面 
的 一 致 。 这 就 要 求 用 这 种 方式 管理 配置 安全 设备 时 ， 必 须 认真 查看 产品 的 说 明 
书 ， 不 能 在 终端 仿真 程序 上 对 所 有 的 参数 都 使 用 默认 的 配置 。 

(2)WEB 方 式 管理 。 用 这 种 方式 对 网 络 安全 设备 进行 管理 ， 全 都 是 以 窗口 界 
面 操作 的 ， 比 较 容易 理解 和 掌握 。 配 置 的 步骤 如 下 : 


用 网 线 把 安全 管理 PC 的 网 卡 接 口 ， 直 接连 到 安全 设备 的 管理 接口 上 。 同 
时 ， 也 要 对 安全 管理 PC 和 安全 设备 的 管理 接口 的 IP 地 址 进行 配置 ， 以 便 让 它 
们 位 于 同一 个 网 段 。 假 如 配置 安全 管理 PC 的 IP 地 址 是 192.168.1.2/24， 安 全 设 
备 管理 接口 的 IP 地 址 是 192.168.1.1/24， 这 样 配置 后 它们 就 都 位 于 同一 个 网 段 
192.168.1.0/24 中 。 


在 安全 管理 PC 的 “命令 行 ”中 ， 执 行 命令 “ping 192.168.1.1”， 看 是 否 能 
ping 通 ， 若 不 通 的 话 ， 可 能 是 连接 安全 管理 PC 和 安全 设备 的 网 线 有 故障 ， 直 到 能 
ping 通 为 止 。 

开启 安全 设备 的 本 地 SSH 服务 ， 并 且 允 许 管 理 账号 使 用 SSH。 这 是 因为 对 大 
多 数 安全 设备 的 WEB 管 理 都 是 通过 SSH 连 接 设备 的 ， 这 样 安全 管理 PC 和 安全 设 
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备 之 间 传 输 的 数据 都 是 通过 加 密 的 ， 安 全 性 比较 高 。 也 就 是 在 安全 管理 PC 的 浏 
览 器 地 址 栏 中 只 能 输入 以 “https” 开 头 的 网 址 。 


在 安全 管理 PC 的 浏览 器 地 址 栏 中 输入 “https://192.168.1.1” 回 车 ， 输 入 用 户 名 
和 密码 后 就 可 登录 到 网 络 安全 设备 的 WEB 管 理 界面 ， 对 其 参数 和 性 能 进行 配置 。 

2) 第 二 种 模式 ， 安 全 管理 PC 通过 交换 机 管理 安全 设备 

如 图 4-4 所 示 ， 安 全 设备 位 于 VLAN 2、VLAN 3 和 VLAN 4 中 。 这 时 ， 安 全 管 
理 PC 对 位 于 同一 个 VLAN 中 的 安全 设备 进行 管理 时 ， 只 需 把 安全 管理 PC 直接 连 
接 到 交换 机 上 ，PC 和 安全 设备 就 都 位 于 同一 网 段 中 。 在 这 种 模式 中 ， 对 安全 设 
备 的 管理 ， 就 不 能 使 用 “第 一 种 模式 ”中 的 用 CONSOLE 口 管理 的 方法 ， 因 为 安 
全 管理 PC 和 安全 设备 没有 直接 连接 ， 而 是 通过 交换 机 间接 连接 起 来 的 。 这 种 模 
式 下 ， 除 了 可 以 用 “第 一 种 模式 ”中 的 WEB 方 式 对 安全 设备 进行 管理 配置 外 ， 
还 可 以 用 以 下 两 种 方式 对 安全 设备 进行 管理 配置 : 


ga ss 
一 


eg VLAN2 
IPS 一】 


a 


> 


本 / 
“漏洞 扫描 SSLVPN7 \\FIREWALL IDS ,7/ 
By Ss A i ™ ~ & 


一 
一 


图 4-4 管理 PC 通过 交换 机 连接 到 安全 设备 
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(DTelnet 方 式 管 理 。 用 这 种 方式 对 安全 设备 进行 管理 时 ， 必 须 首先 保证 安全 
管理 PC 和 安全 设备 之 间 有 路 由 可 达 ， 并 且 可 以 用 Telnet 方式 登录 到 安全 设备 上 。 
在 本 例 中 ， 安 全 管理 PC 和 安全 设备 位 于 同一 个 网 段 ， 所 以 满足 用 Telnet 方 式 管理 
的 条 件 。 另 外 ， 还 要 在 安全 设备 上 进行 如 下 配置 ， 才 能 采用 Telnet 方式 对 其 进行 
管理 。 


把 一 台电 脑 的 串口 连接 到 安全 设备 的 CONSOLE 口 上 。 通 过 CONSOLE 口 配 
置 远 程 用 户 用 Telnet 方 式 登录 到 安全 设备 上 的 用 户 名 和 口令 、 管 理 级 别 及 所 属 服 
务 等 。 


通过 CONSOLE 口 配置 提供 Telnet 服务 的 耳 地 址 、 端 口号 等 。 


在 安全 管理 PC 上 的 “命令 行 ” 中 ， 执 行 Telnet 到 网 络 安全 设备 上 的 命令 ， 然 
后 输入 用 户 名 和 口令 ， 就 可 以 登录 到 安全 设备 上 进行 管理 配置 了 。 


(2)SSH 方 式 管理 。 当 用 户 在 一 个 不 能 保证 安全 的 网 络 环境 中 时 ， 却 要 远程 登 
录 到 安全 设备 上 。 这 时 ，SSH 特性 就 可 以 提供 安全 的 信息 保障 及 认证 功能 ， 起 到 
保护 安全 设备 不 受 诸如 IP 地 址 欺诈 、 明 文 密码 截取 等 攻击 。 安 全 管理 PC 以 SSH 
方式 登录 到 安全 设备 之 前 ， 通 常 还 要 在 安全 设备 上 进行 如 下 配置 : 


通过 一 台电 脑 连 接 到 安全 设备 的 CONSOLE 口 ， 或 者 通过 WEB 管 理 方式 ， 登 
录 到 安全 设备 上 。 


在 安全 设备 上 配置 SSH 服 务 器 的 参数 ， 如 验证 方式 、 验 证 重复 的 次 数 和 兼容 
的 SSH 版 本 等 。 


在 安全 管理 PC 上 运行 SSH 的 终端 软件 ， 如 SecureCRT 应 用 程序 。 在 程序 中 
设置 正确 的 连接 参数 ， 输 入 安全 设备 接口 的 IP 地 址 ， 就 可 与 安全 设备 建立 起 连 
接 ， 然 后 对 其 进行 配置 管理 。 

3) 第 三 种 模式 : 通过 安全 中 心服 务 器 管理 安全 设备 

如 图 4-5 所 示 ， 与 第 一 、 二 种 管理 模式 相 比 ， 此 种 模式 把 “安全 管理 PC” 升 
级 成 了 “安全 中 心服 务 器 ”。 在 服务 器 上 就 可 以 对 网 络 中 所 有 的 安全 设备 进行 管 
理 配 置 ， 而 不 用 再 把 安全 管理 PC 逐个 地 连接 到 安全 设备 或 安全 设备 所 在 VLAN 的 
交换 机 上 。 在 这 种 管理 模式 中 ， 除 了 不 能 直接 连接 到 安全 设备 的 CONSOLE 口 上 
对 其 进行 管理 配置 外 ， 其 他 的 三 种 管理 方式 ， WEB、Telnet 和 SSH 在 安全 中 心服 务 
器 上 都 可 以 使 用 。 用 安全 中 心服 务 器 管理 配置 安全 设备 主要 存在 两 种 网 络 环境 : 


179 


180 | 网 络 运 维 亲历 记 


LVLAN3 pg 
» 从 


… 漏洞 扫描 ~ IPS IPSecVPN… 


图 4-5 通过 安全 中 心服 务 器 管理 安全 设备 


(1) 安 全 中 心服 务 器 和 安全 设备 管理 接口 的 IP 地 址 不 在 同一 个 网 段 。 如 图 
4-5 所 示 ， 安 全 中 心服 务 器 位 于 VLAN 13，IP 地 址 为 192.168.13.1/24。 而 漏洞 扫 
描 位 于 VLAN 3 中 ，IP 地 址 为 192.168.3.1， 它 和 安全 服务 中 心服 务 器 的 地 址 位 于 
不 同 的 子 网 中 。 如 果 要 让 安全 服务 中 心服 务 器 能 访问 到 漏洞 扫描 ， 就 必须 在 两 
台 Cisco4510 上 添加 三 层 配 置 ， 让 两 个 VLAN 间 的 数据 能 互相 访问 。 在 4510A 和 
4510B 上 的 配置 如 下 所 示 : 


Cisco4510A 上 的 配置 如 下 所 示 : 


Cisco4510A (config)#interface VLAN 13 


Cisco4510A (config-if)#ip address 192.168.13.252 255.255.255.0 
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// 创 建 VLAN 13 的 SVI 接 口 ， 并 指定 IP 地 址 

Cisco4510A (config-if)#no shutdown 
Cisco4510A(config-if)ip helper-address 192.168.11.1 
// 配 置 DHCP 中 继 功 能 

Cisco4510A (config-if) standby 13 priority 150 preempt 
Cisco4510A (config-if)standby 13 ip 192.168.13.254 


// 配 置 VLAN 13 的 HSRP 参 数 


Cisco4510A (config)#interface VLAN 3 

Cisco4510A (config-if)#ip address 192.168.3.252 255.255.255.0 
// 创 建 VLAN 3 的 SVI 接 口 ， 并 指定 IP 地 址 

Cisco4510A (config-if)#no shutdown 

Cisco4510A (config-if)ip helper-address 192.168.11.1 

/ /配置 DHCP 中 继 功 能 

Cisco4510A (config-if) standby 3 priority 150 preempt 
Cisco4510A (config-if)standby 3 ip 192.168.3.254 


// 配 置 VLAN 3 的 HSRP 参 数 


Cisco4510B 上 的 配置 如 下 所 示 : 


Cisco4510B (config)#interface VLAN 13 
Cisco4510B (config-if)#ip address 192.168.13.253 255.255.255.0 
// 创 建 VLAN 13 的 SVI 接 口 ， 并 指定 TP 地址 


Cisco4510B (config-if)#no shutdown 
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Cisco4510B (config-if)ip helper-address 192.168.11.1 
// 配 置 DHCP 中 继 功 能 

Cisco4510B (config-if)standby 13 priority 140 preempt 
Cisco4510B (config-if)standby 13 ip 192.168.13.254 


// 配 置 VLAN 13 的 HSRP 参 数 


Cisco4510B (config)#interface VLAN 3 

Cisco4510B (config-if)#ip address 192.168.3.253 255.255.255.0 
// 创 建 VLAN 3 的 SVI 接 口 ， 并 指定 IP 地 址 

Cisco4510B (config-if)#no shutdown 

Cisco4510B (config-if)ip helper-address 192.168.11.1 

// 配 置 DHCP 中 继 功 能 

Cisco4510B (config-if)standby 3 priority 140 preempt 
Cisco4510B (config-if)standby 3 ip 192.168.3.254 


// 配 置 VLAN 3 的 HSRP 参 数 


因为 4510 和 3560-E 之 间 都 是 Trunk 连 接 ， 所 以 在 4510A 和 4510B 上 进行 了 如 上 
配置 后 ， 安 全 中 心服 务 器 就 能 访问 到 漏洞 扫描 安全 设备 。 在 安全 中 心服 务 器 的 浏 
览 器 地 址 栏 中 输入 https://192.168.3.1， 就 能 登录 到 漏洞 扫描 设备 上 ， 然 后 在 WEB 
界面 中 就 可 以 对 其 参数 和 性 能 进行 配置 。 


(2) 安 全 中 心服 务 器 和 安全 设备 管理 接口 的 人 P 地 址 都 位 于 同一 个 网 段 中 。 这 种 
网 络 环境 中 ， 安 全 中 心服 务 器 要 对 安全 设备 进行 管理 时 ， 在 路 由 器 或 交换 机 上 需 
要 配置 的 命令 就 比较 少 。 也 就 是 在 图 4-5 中 ， 只 需 把 交换 机 上 的 配置 命令 进行 简 
单 的 改造 ， 把 所 有 的 安全 设备 的 管理 接口 的 卫 地 址 和 安全 中 心服 务 器 地 址 配置 到 
同一 个 VLAN 中 。 这 样 在 Cisco4510 上 就 不 用 进行 三 层 配 置 。 然 后 在 安全 中 心服 务 
器 的 浏览 器 地 址 栏 中 输入 安全 设备 的 他 地 址 也 能 对 各 个 安全 设备 进行 管理 配置 。 
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3. 总结 


(DD) 以 上 3 种 网 络 安全 设备 的 管理 模式 ， 主 要 是 根据 网 络 的 规模 和 安全 设备 的 
多 少 ， 来 决定 使 用 哪 一 种 管理 模式 。3 种 模式 之 间 没 有 完全 的 优 劣 之 分 。 若 是 网 
络 中 就 一 两 台 安 全 设备 ， 显 然 采 用 第 一 种 模式 比较 好 。 只 需要 一 台 安全 管理 PC 
就 可 以 。 若 是 采用 架设 安全 中 心服 务 器 的 话 就 有 些 得 不 偿 失 。 如 果 安 全 设备 较 
多 ， 并 且 都 分 布 在 不 同 的 网 段 ， 那 选择 第 二 种 模式 就 行 ， 用 两 三 台 安 全 管理 PC 
管理 安全 设备 ， 比 架设 两 台 服 务 器 还 是 要 经 济 很 多 。 若 是 安全 设备 很 多 ， 就 采用 
第 3 种 模式 ， 它 至 少 能 给 网 络 管理 员 节省 很 多 的 时 间 ， 因 为 在 一 台 服 务 器 上 就 它 
就 可 以 对 所 有 的 安全 设备 进行 管理 。 


(2) 第 三 种 管理 模式 中 ， 安 全 中 心服 务 器 共 使 用 了 两 台 服 务 器 。 这 主要 是 因 
为 ， 在 一 些 大 型 的 网 络 中 ， 安 全 设备 不 只 是 有 几 台 、 十 几 台 ， 有 的 已 达 上 百 台 
或 者 更 多 。 管 理 这 么 多 数量 的 安全 设备 ， 完 全 有 必要 架设 两 台 服 务 器 ， 保 证 管理 
安全 设备 的 稳定 性 和 可 靠 性 。 而 且 ， 安 全 中 心服 务 器 有 时 并 不 仅仅 承担 着 管理 的 
功能 ， 它 有 时 还 要 提供 安全 设备 软件 的 升级 功能 。 也 就 是 在 安全 中 心服 务 器 上 提 
供 一 个 访问 Internet 的 接口 ， 所 有 的 安全 设备 都 通过 这 个 接口 连接 到 互联 网 上 进 
行 升 级 ， 例 如 防火 墙 系统 版 本 、 病 毒 特征 库 的 升级 ，IPS 系 统 版 本 和 特征 值 的 升 
级 等 。 若 安全 设备 很 多 ， 升 级 数据 量 就 会 很 大 ， 若 用 两 台 服 务 器 双 机 均衡 负载 ， 
会 大 大 降低 用 一 台 服 务 器 升级 时 所 面临 巨大 数据 量 的 压力 。 


(3) 解 决 网 络 安全 问题 主要 是 利用 网 络 管理 措施 ， 保 证 网 络 环境 中 数据 的 机 
密 性 、 完 整 性 和 可 用 性 。 确 保 经 过 网 络 传送 的 信息 ， 在 到 达 目 的 地 时 没有 任何 增 
加 、 改 变 、 丢 失 或 被 非法 读 取 。 而 且 要 从 以 前 单纯 的 以 防 、 堵 、 隔 为 主 ， 发 展 到 
现在 的 攻 、 防 结合 ， 注 重 动态 安全 。 在 网 络 安全 技术 的 应 用 上 ， 要 注意 从 正面 
防御 的 角度 出 发 ， 控 制 好 信息 通信 中 数据 的 加 密 、 数 字 签 名 和 认证 、 授 权 、 访 问 
等 。 而 从 反面 要 做 好 漏洞 扫描 评估 、 入 侵 检测 、 病 毒 防御 、 安 全 报警 响应 等 。 要 
对 网 络 安全 有 一 个 全 面 的 了 解 ， 不 仅 需要 掌握 防护 方面 的 知识 ， 也 需要 掌握 检测 
和 响应 环节 方面 的 知识 。 


互联 网 上 发 生 的 大 大 小 小 的 泄密 事件 ， 也 再 次 给 我 们 襄 响 了 警钟 ， 网 络 安 
全 无 小 事 ， 网 络 安全 管理 也 必须 从 内 、 外 两 方面 来 防范 。 计 算 机 网 络 最 大 的 不 安 
全 ， 就 是 自 认 为 网 络 是 安全 的 。 在 安全 策略 的 制定 、 安 全 技术 的 采用 和 安全 保障 
的 获得 ， 其 实 很 大 程度 上 要 取决 于 网 络 管理 员 对 安全 威胁 的 把 握 。 网 络 上 的 威胁 
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时 刻 存在 ， 各 种 各 样 的 安全 问题 常常 会 掩盖 在 平静 的 表面 之 下 ， 所 以 网 络 安全 管 
理 员 必须 时 刻 提 高 警惕 ， 把 好 网 络 安全 的 每 一 道 关卡 。 


4.2 ” 运 维 实例 : 防火 墙 部 署 搭建 与 故障 排除 


安全 无 小 事 ! 互联 网 上 的 每 一 次 “密码 泄露 ”事件 都 闹 得 沸沸扬扬 ， 人 心性 
性 。 例 如 ，CSDN 用 户 数据 库 的 泄露 事件 ， 对 从 事 计算 机 技术 工作 的 人 是 当头 一 
棒 。 因 为 IT 技术 工作 者 ， 绝 大 多 数 都 在 CSDN 注 册 过 账号 ， 而 且 几 乎 都 是 使 用 同 
一 个 用 户 名 和 密码 注册 了 其 他 类 的 技术 网 站 。 发 生 “CSDN 用 户 数据 库 泄露 ” 事 
件 后 ， 反 正 我 是 赶紧 把 自己 在 用 的 许多 技术 类 网 站 的 密码 都 改 了 过 来 。 但 是 刚 改 
完 没 多 久 ， 又 出 现 了 天 涯 、 新 浪 微 博 等 泄密 事件 。 真 是 防不胜防 ! 


难道 互联 网 上 就 没有 安全 的 地 方 了 吗 ? 我 认为 还 是 有 的 ， 要 不 然 也 没有 这 人 么 
多 人 使 用 互联 网 。 只 不 过 近 段 时 间 暴 露 的 问题 接二连三 ， 太 多 了 。 不 过 ， 有 了 问 
题 只 要 通过 各 种 安全 措施 把 它 解决 了 ， 同 样 可 以 提高 互联 网 的 安全 性 。 所 以 ， 这 
就 对 负责 IT 安全 的 技术 人 员 有 了 更 高 的 要 求 。 本 篇 文章 就 涉及 到 企业 网 中 防火 墙 
设备 部 署 、 安 装 和 配置 。 虽 然 防火 墙 不 能 解决 所 有 的 安全 问题 ， 但 它 在 网 络 中 的 
部 署 也 是 绝对 不 能 少 的 。 


1. 网 络 架构 和 防火 墙 部 署 情况 


网 络 结构 图 如 图 4-6 所 示 。 为 了 确保 重要 设备 的 稳定 性 和 宛 余 性 ， 核 心 层 
交换 机 使 用 两 台 6509-E， 通 过 Trunk 线 连接 。 在 办 公 区 的 接 入 层 使 用 了 多 台 
Cisco2960 交 换 机 ， 图 示 为 了 简洁 ， 只 画 出 了 两 台 。 在 核心 层 交换 机 6509-E 上 ， 
通过 防火 墙 连接 有 单位 重要 的 服务 器 ， 如 FTP、E-MAIL 服 务 器 和 数据 库 等 。 单 
位 IP 地 址 的 部 署 ， 使 用 的 是 C 类 私有 192 网 段 的 地 址 。DHCP 服 务 器 的 IP 地 址 为 
192.168.10.1，FTP 服 务 器 的 人 P 地 址 是 192.168.5.2。Cisco6509-E 和 Cisco3750 之 间 
及 Cisco3750 和 Cisco2960 之 间 都 是 Trunk 连 接 。 


图 4-6 中 的 黄色 线 表示 的 是 用 光纤 连接 ， 蓝 色 线 表 示 的 是 用 双 绞 线 连接 。 而 
且 从 两 台 6509 上 分 别 延伸 出 来 了 的 两 条 黄色 线 ， 一 条 竖 线 和 一 条 横 线 ， 它 们 在 
拓扑 图 中 其 实 是 对 两 台 6509 上 端口 的 一 种 扩展 ， 并 不 是 这 两 条 线 只 连接 到 6509 
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上 的 一 个 端口 ， 而 是 连接 了 多 个 端口 。 这 种 布局 的 拓扑 图 ， 在 结构 上 就 显得 更 
清晰 明了 。 


FW-B 


2960-A 2960-A | 2960-B 
二 -本 ca by 本 
< </ 
用 户 组 用 户 组 E-MAIL FTP Database 


图 4-6 ”网 络 架构 和 防火 墙 部 署 图 示 


根据 部 门 性 质 的 不 同 ， 把 各 个 部 门 的 电脑 划 入 到 不 同 的 VLAN 中 。 服 务 器 
都 位 于 VLAN 2~VLAN 10 中 ， 对 应 的 网 络 号 是 192.168.2.0 一 192.168.10.0， 如 
DHCP 服 务 器 位 于 VLAN 10 中 ，FTP 服 务 器 位 于 VLAN 5 中 。 服 务 器 的 人 P 地 址 、 默 
认 网 关 和 DNS 都 是 静态 配置 的 。VLAN 11~VLAN 150 是 属于 办 公 部 门 使 用 的 ， 
对 应 的 网 络 号 是 192.168.11.0 一 192.168.150.0。VLAN 号 和 网 络 号 之 间 都 是 对 应 
的 。VLAN 中 的 PC 都 是 通过 Cisco2960 接 入 到 网 络 中 ，3750 都 是 二 层 配置 ， 三 层 
的 配置 都 在 Cisco6509 上 ， 也 就 是 VLAN 间 的 路 由 都 是 通过 6509 完 成 的 。PC 的 JP 
地 址 、 默 认 网 关 和 DNS 都 是 自动 从 DHCP 服 务 器 上 获得 的 ， 不 用 手工 静态 配置 。 


如 图 4-6 所 示 ， 两 台 防火 墙 都 是 联想 Power V 防 火 墙 ， 它 们 运行 的 模式 都 为 透 
明 模式 ， 也 就 是 以 “ 桥 ” 模 式 运行 的 ， 本 身 只 需要 配置 一 个 管理 耻 地 址 ， 不 必 占 
用 任何 其 他 的 IP 资 源 ， 也 不 需要 改变 用 户 的 拓扑 环境 ， 设 备 的 运行 对 用 户 来 说 是 
“透明 ”的 ， 在 网 络 设备 上 进行 各 种 命令 的 配置 时 ， 就 当 不 存在 这 两 个 防火 墙 一 
样 ， 因 为 它们 是 透明 模式 。 它 们 只 对 线路 上 的 数据 包 作 安全 检查 和 安全 策略 上 的 
限制 ， 本 身 不 会 影响 网 络 的 整体 架构 和 配置 。 这 种 模式 在 安装 和 维护 防火 墙 时 ， 
相对 防火 墙 的 另外 一 种 运行 模式 一 一 路 由 模式 来 说 要 简单 很 多 。 
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Cisco6509-E 和 核心 区 Cisco2960 之 间 不 是 Trunk 模 式 连接 ， 而 是 使 用 接 入 模式 
连接 的 ， 也 就 是 两 台 Cisco6509-E 的 Gi3/2 位 于 VLAN 5 中 ， 核 心 区 两 台 Cisco2960 
的 Gi0/1 也 位 于 VLAN 5 中 。 两 台 6509 和 两 台 3750 之 间 以 及 办 公 区 中 网 络 设备 间 的 
连接 情况 如 下 所 示 : 


Cisco6509-E1 GigabitEthernet 3/1 <----> Cisco3750A 
GigabitEthernet 1/0/25 


Cisco6509-E2 GigabitEthernet 3/1 <----> Cisco3750B 
GigabitEthernet 1/0/25 


Cisco3750A GigabitEthernet 1/0/1 <----- > Cisco2960A 
GigabitEthernet 0/1 


Cisco3750B GigabitEthernet 1/0/1 <----- > Cisco2960B 
GigabitEthernet 0/1 


两 台 6509 和 两 台 防 火 墙 之 间 的 及 核心 区 中 网 络 设备 间 的 连接 情况 如 下 所 示 : 


Cisco6509-E1 GigabitEthernet 3/2 <---> FW-A GigabitEthernet 1 
Cisco6509-E2 GigabitEthernet 3/2 <---> FW-B GigabitEthernet 1 
FW-A GigabitEthernet 2 <---> Cisco2960A GigabitEthernet 0/1 


FW-B GigabitEthernet 2 <---> Cisco2960B GigabitEthernet 0/1 


2. 主要 网 络 设备 上 的 配置 情况 

1) 两 台 核心 交换 机 上 的 配置 情况 。 在 Cisco6509-E1 上 的 主要 配置 如 下 所 示 : 
hostname Cisco 6509-PE1 

! 


interface GigabitEthernet3/1 
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description Link3750A 1/0/25 
switchport trunk encapsulation dotlq 
switchport trunk allowed VLAN 5,115 


switchport mode trunk 


interface GigabitEthernet3/2 
description Link FW-A Gil 
switchport access VLAN 5 


switchport mode access 


interface VLAN5 

Ip address 192.168"55252 2550255259a0 
standby 5 ip 192.168.5.254 

standby 5 priority 120 


standby 5 preempt 


interface VLAN115 

1p address L921083119252 255.2553259.0 
standby 11S ip. 1922168. 1156254 

standby 115 priority 120 


standby 115 preempt 


其 中 命令 “ip address 192.168.5.252 255.255.255.0” 是 给 指定 的 VLAN 配 置 卫 
地 址 。 
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命令 “standby 5 priority 120” 中 的 “priority” 是 配置 HSRP 的 优先 级 ，5 为 组 
序号 ， 它 的 取 值 范围 为 0~255，120 为 优先 级 的 值 ， 取 值 范围 为 0~255， 数 值 越 
大 优先 级 越 高 。 


优先 级 将 决定 一 台 路 由 器 在 HSRP 备 份 组 中 的 状态 ， 优 先 级 最 高 的 路 由 器 将 
成 为 活动 路 由 器 ， 其 他 优先 级 低 的 路 由 器 将 成 为 备用 路 由 器 。 当 活动 路 由 器 失效 
后 ， 备 用 路 由 器 将 替代 它 成 为 活动 路 由 器 。 当 活动 和 备用 路 由 器 都 失效 后 ， 其 他 
路 由 器 将 参与 活动 和 备用 路 由 器 的 选举 工作 。 优 先 级 都 相同 时 ， 接 口 卫 地 址 高 的 
将 成 为 活动 路 由 器 。 

“preempt” 是 配置 HSRP 为 抢占 模式 。 如 果 需 要 高 优先 级 的 路 由 器 能 主动 抢 
占 成 为 活动 路 由 器 ， 则 要 配置 此 命令 。 配 置 preempt 后 ， 能 够 保证 优先 级 高 的 路 
由 器 失效 恢复 后 总 能 成 为 活动 路 由 器 。 活 动 路 由 器 失效 后 ， 优 先 级 最 高 的 备用 路 
由 器 将 处 于 活动 状态 ， 如 果 没 有 使 用 preempt 技 术 ， 则 当 活 动 路 由 器 恢复 后 ， 它 
只 能 处 于 备用 状态 ， 先 前 的 备用 路 由 器 代替 其 角色 处 于 活动 状态 。 


命令 “standby 5 ip 192.168.5.254” 作 用 是 启动 HSRP， 如 果 虚 拟 卫 地 址 不 指 
定 ， 路 由 器 就 不 会 参与 备份 。 虚 拟 卫 应 该 是 接口 所 在 的 网 段 内 的 地 址 ， 不 能 配置 
为 接口 上 的 卫 地 址 。 


在 Cisco6509-E2 上 的 主要 配置 如 下 所 示 : 


hostname Cisco 6509-E2 

interface GigabitEthernet3/1 
description Link3750B 1/0/25 
switchport trunk encapsulation dotlq 
switchport trunk allowed VLAN 5,115 
switchport mode trunk 

! 


interface GigabitEthernet3/2 
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(2) 在 办 公 区 两 台 Cisco3750 和 两 台 Cisco2960 上 的 配置 情况 如 下 所 示 。 在 
Cisco3750A 上 的 配置 如 下 所 示 : 
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Switchport trunk allowed VLAN 5,115 


switchport mode trunk 


interface GigabitEthernet1/0/1 
description Link2960A 0/1 

Switchport trunk encapsulation dotlq 
switchport trunk allowed VLAN 5,115 


switchport mode trunk 


在 Cisco3750B 上 的 配置 如 下 所 示 : 


hostname Cisco3750B 


interface GigabitEthernet1/0/25 
description Link6509-E2 3/1 
Switchport trunk encapsulation dotlq 
switchport trunk allowed VLAN 5,115 


switchport mode trunk 


interface GigabitEthernet1/0/1 
description Link2960B 0/1 

switchport trunk encapsulation dotlq 
switchport trunk allowed VLAN 5,115 


switchport mode trunk 
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在 Cisco2960A 上 的 配置 如 下 所 示 : 

hostname Cisco2960A 

! 

interface GigabitEthernet0/1 
description Link3750A 1/0/1 
switchport trunk encapsulation dotlq 
switchport trunk allowed VLAN 5,115 


switchport mode trunk 


在 Cisco2960B 上 的 配置 如 下 所 示 : 


hostname Cisco2960B 

! 

interface GigabitEthernet0/1 
description Link3750B 1/0/1 
Switchport trunk encapsulation dotlqg 
switchport trunk allowed VLAN 5,115 


switchport mode trunk 


(3) 在 核心 区 两 台 Cisco2960 上 的 主要 配置 情况 如 下 所 示 。 在 Cisco2960A 上 的 
配置 如 下 所 示 : 


hostname Cisco2960A 


interface GigabitEthernet0/1 
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description Link3750A 1/0/1 
switchport access VLAN 5 


switchport mode access 


在 Cisco2960B 上 的 配置 如 下 所 示 : 


hostname Cisco2960B 

! 

interface GigabitEthernet0/1 
description Link3750B 1/0/1 
switchport access VLAN 5 


switchport mode access 


注意 : 在 办 公 区 和 核心 区 中 Cisco2960 交 换 机 上 的 配置 情况 是 不 一 样 的 ， 前 
者 交换 机 上 的 端口 的 配置 为 Trunk 模 式 ， 而 后 者 的 端口 模式 为 Access 模 式 。 


3. 故障 发 生 及 排查 故障 的 过 程 


配置 完 上 面 的 命令 后 ， 在 办 公 区 用 户 的 电脑 上 ， 应 该 就 能 访问 到 核心 区 服 
务 器 上 的 资源 。 例 如 在 办 公 区 有 一 用 户 PC 的 IP 地 址 为 192.168.115.2， 子 网 掩 码 
为 2355.255.255.0， 默 认 网 关 为 192.168.115.254。 它 应 该 是 能 访问 到 核心 区 的 FTP 
服务 器 ，FTP 服 务 器 的 IP 地 址 为 192.168.5.2， 子 网 掩 码 也 是 255.255.255.0， 默 认 
网 关 为 192.168.5.254。 一 般 在 PC 浏览 器 的 地 址 栏 中 输入 “ftp://192.168.5.2” 回 车 
后 ， 就 能 显示 出 一 个 对 话 框 ， 提 示 输 入 用 户 名 和 密码 ， 然 后 就 能 访问 到 FTP 服 务 
器 上 的 资源 。 但 结果 却 访问 不 成 功 ， 根 本 就 没有 对 话 框 提示 输入 用 户 名 和 密码 。 


办 公 区 用 户 PC 访问 核心 区 FTP 服 务 器 的 数据 流向 如 图 4-7 所 示 。 因 为 在 办 公 
区 的 两 台 Cisco3750。 和 核心 区 的 两 台 防 火 墙 、 两 台 Cisco2960 以 及 两 台 核 心 交换 
机 Cisco6509-E 都 是 双 机 热 备 或 负载 均衡 的 运行 模式 ， 所 以 数据 流向 只 要 通过 两 
台中 的 任意 一 台 就 都 是 正常 的 。 
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用 户 组 。 用 户 组 E-MAIL FTP Database 
图 4-7 办 公用 户 访问 FTP 服 务 器 的 数据 流向 图 示 


既然 已 经 知道 了 数据 的 流向 ， 也 就 能 大 致 确定 故障 发 生 在 什么 地 方 。 为 了 图 
示 的 简洁 明了 ， 把 图 4-7 再 进一步 精简 ， 得 到 如 图 4-8 所 示 的 拓扑 图 。 从 图 4-8 中 可 以 
看 出 ， 整 个 的 数据 流向 就 一 条 线 ， 这 样 排查 故 障 也 就 比较 简单 ， 排 查 故障 的 步骤 
如 下 : 


. 琢 FTP 


192.168.115.2/24 192.168.5.2/24 


图 4-8 ”可 能 发 生 故 障 的 网 络 简洁 拓扑 图 
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第 一 步 : 在 办 公 区 用 户 的 PC“ 命 令 行 ”CMD 中 执行 命令 “telnet 192.168.5.2 
21” 得 到 的 输出 结果 为 : 


“正在 连接 192.168.5.2... 无 法 打开 到 主机 的 连接 。 在 端口 21: 连接 失败 ”。 


这 就 说 明 在 PC 上 不 能 登录 到 FTP 服 务 器 的 21 端 口上 。 原 因 可 能 有 很 多 种 ， 可 
能 是 用 户 PC 和 FTP 服 务 器 之 间 的 网 络 不 通 ， 也 可 能 是 FTP 服 务 器 上 的 21 端 口 根本 
就 没有 打开 。 

第 二 步 ， 确定 是 不 是 网 络 的 故障 。 在 办 公 区 用 户 的 PC “命令 行 ”CMD 中 执 
行 命令 “ping 192.168.5.2”， 得 到 如 下 的 输出 结果 : 


C:\Users\Administrator>ping 192.168.5.2 
正在 Ping 192.168.5.2 具有 32 字 节 的 数据 : 
请 求 超时 。 

请 求 超时 。 

请 求 超时 。 

请 求 超时 。 

192.168.5.2 的 Ping 统计 信息 : 


数据 包 : 已 发 送 = 4, 已 接收 = 0， 丢失 = 4 (100% 丢失 ) 


从 上 面 的 输出 结果 可 以 看 出 PC 和 FTP 服 务 器 之 间 的 网 络 是 不 通 的 。 既 然 不 通 
就 要 找 出 在 图 4-8 中 的 “一 条 线 ” 中 到 底 是 在 哪个 设备 上 出 了 问题 。 


第 三 步 : 在 办 公 区 用 户 PC 的 “命令 行 ”CMD 中 执行 命令 “tracert 
192.168.5.2”， 它 可 以 定位 到 数据 包 在 传输 过 程 中 到 底 在 哪个 设备 上 出 了 问题 。 
执行 命令 得 到 如 下 的 输出 结果 : 


C:\Users\Administrator>tracert 192.168.5.2 


通过 最 多 30 个 跃 点 跟踪 到 192.168.5.2 的 路 由 
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了 1 ms <1 毫秒 <l1 毫秒 192.168.115.254 
如 * * * 请 求 超时 
3 * * * 请 求 超时 


上 面 的 输出 在 第 “3” 行 的 下 面 本 来 还 有 很 多 ， 都 省 略 了 。 因 为 数据 包 不 能 
成 功 到 达 目 的 地 192.168.5.2， 所 以 它 只 能 像 第 “3” 行 那样 往 下 延续 地 输出 。 从 
输出 的 结果 可 以 看 出 ，PC 上 发 出 的 数据 包 只 能 到 达 Cisco6509 上 ， 因 为 第 “1” 
行 输出 中 的 192.168.115.254 就 是 6509 上 VLAN 115 的 IP 地 址 。 也 就 是 PC 和 6509 之 
间 的 路 由 是 通 的 ， 为 了 验证 这 个 结果 ， 我 们 在 PC 的 命令 行 中 执行 了 命令 “ping 
192.168.115.254”， 结 果 能 成 功 ping 通 。 


其 实 ， 这 也 很 好 理解 ，PC 发 出 的 数据 包 ， 通 过 两 个 交换 机 Cisco2960 和 
Cisco3750 的 二 层 广播 功能 ， 直 接 把 数据 包 发 送 到 了 6509 的 三 层 端 口 VLAN 115 
上 ，VLAN 115 收 到 数据 包 后 发 现 是 ping 命 令 ， 就 再 把 收 到 的 数据 包 返 回 给 PC。 
所 以 ， 在 PC 上 能 ping 通 6509。 但 是 ， 从 电脑 PC 上 发 出 的 ping 数 据 包 ， 在 6509 上 就 
不 能 路 由 到 FTP 服 务 器 ， 因 为 从 执行 命令 “tracert 192.168.5.2”， 输 出 的 第 “2” 
行 一 直 往 下 ， 收 不 到 返回 的 数据 包 。 所 以 现在 可 以 把 故障 定位 在 6509 和 FTP 服 务 
器 之 间 。 


第 四 步 : 这 一 步 需要 确定 是 不 是 因为 FTP 服 务 器 引起 的 这 种 故障 现象 。 所 以 
就 找 了 一 台 状 态 良 好 的 笔记 本 电脑 ， 把 插 在 FTP 服 务 器 上 的 网 线 拔 下 来 插 到 笔记 
本 电脑 的 网 口上 ， 然 后 把 笔记 本 电脑 网 口 的 人 P 地 址 、 子 网 掩 码 和 默认 网 关 都 配 
置 成 和 FTP 服 务 器 完全 一 样 的 。 然 后 ， 再 次 在 办 公 区 的 电脑 上 执行 和 上 面 一 样 的 
ping 命 令 、Telent 命 令 和 Tracert 命 令 。 结 果 与 上 面前 三 步 的 测试 结果 一 样 ， 还 是 
不 通 。 这 就 排除 了 FTP 服 务 器 引起 的 这 种 故障 现象 。 其 实 ， 在 这 一 步 中 所 使 用 排 
除 故 障 的 方法 ， 就 是 最 简单 ， 也 是 最 常用 的 “替换 法 ”。 


第 五 步 : 因为 在 6509 和 FTP 服 务 器 之 间 ， 所 经 过 的 网 络 设备 就 只 有 6509、 防 
火 墙 和 2960， 而 2960 上 都 是 非常 简单 的 二 层 配置 ， 出 现 错误 配置 的 可 能 性 不 大 。 
6509 在 前 三 步 的 测试 中 ， 也 没有 发 现 有 什么 异常 现象 。 所 以 问题 最 有 可 能 出 在 防 
火 墙 上 。 


打开 防火 墙 的 WEB 管 理 配置 界面 ， 查 看 其 中 的 安全 策略 配置 ， 发 现 其 中 并 


1195 


196 1 


网 络 运 维 亲历 记 


没有 配置 允许 192.168.115.2 访 问 192.168.5.2 的 策略 。 因 为 所 使 用 的 防火 墙 策略 ， 
默认 是 全 禁止 的 ， 也 就 是 默认 情况 下 防火 墙 不 允许 任何 数据 包 通 过 ， 除 非 在 它 上 
面 配 置 了 允许 某 个 数据 包 通 过 的 策略 。 所 以 ， 只 要 在 防火 墙 上 添加 了 允许 办 公 
区 用 户 访问 FTP 服 务 器 的 安全 策略 ， 就 可 以 解决 上 面 的 问题 。 同 时 也 要 添加 允许 
192.168.115.2 的 IP 地 址 ping 地 址 192.168.5.2 的 策略 ， 这 样 在 PC 上 也 就 能 ping 通 FTP 
服务 器 了 。 


4. 防火 墙 上 安全 策略 的 配置 。 
在 防火 墙 上 总 共 需 要 配置 添加 两 个 策略 ， 才 能 解决 上 面 的 故障 ， 如 下 步骤 所 示 。 


() 在 防火 墙 上 添加 允许 办 公 区 用 户 访问 FTP 服 务 器 的 安全 策略 。 如 图 4-9 
所 示 ， 是 添加 策略 的 Web 界 面 。 标 红色 星 号 的 选项 是 必须 填写 的 。“ 规 则 名 ” 
为 VLAN115-to-VLAN5; “序号 ”是 自动 生成 的 ，“ 源 地 址 ”和 “目的 地 
址 ”的 IP 地 址 和 子 网 掩 码 就 按 如 图 4-9 所 示 的 填写 即 可 ， 但 注意 子 网 掩 码 一 定 
要 写 255.255.255.255， 不 能 写成 255.255.255.0。 因 为 前 者 的 子 网 掩 码 只 对 应 一 
个 IP 地 址 ， 而 后 者 则 对 应 的 是 一 个 网 段 。 如 果 把 源 地 址 和 它 的 子 网 掩 码 写 成 
192.168.115.2 和 255.255.255.255， 意 思 就 是 只 允许 192.168.115.2 这 一 个 IP 地 址 访问 
FTP 服 务 器 。 但 若是 把 子 网 掩 码 写 成 了 255.255.255.0， 那 对 应 的 安全 策略 就 成 了 
允许 所 有 属于 192.168.115.0/24 这 个 网 段 的 下 地 址 访问 FTP 服 务 器 。 


# 规则 名 :VLan115-to-Vlan5 * 序号 : |43 ] 

源 地 址 : 自 定 又 已 目的 地 址 : 自 定 又 | 加 

TP 地 址 |192. 168.115.2 TP 地 址 |192.168.5.2 | 

把 995255.255.255 拖 95 255.255.259|] 

源 端口 : 沽 MAC: ] 

流入 网 口 : [- 流出 网 口 : 加 

* 动作 : 仿 允 许 个 禁 目 时 间 调 度 : [| 
Ci 证 CIPsEc 服务 : [ftp 


图 4-9 在 防火 墙 WEB 管 理 界面 中 添加 允许 访问 FTP 服 务 


“动作 ”共有 4 个 选项 ， 但 只 能 选择 其 中 一 项 ，“ 人 允许 ”就 是 允许 与 源 地 址 
和 目的 地 址 匹配 的 人 P 数 据 包 通过 ，“ 禁 止 ” 就 是 不 允许 通过 。 还 有 两 个 选项 是 在 
防火 墙 上 使 用 其 他 的 安全 功能 时 才 选 择 的 。 最 后 一 个 选项 是 “服务 ”， 这 个 是 从 
服务 的 下 拉 菜 单 中 选择 的 ， 选 择 的 是 ftp 服 务 。 一 般 在 防火 墙 之 类 的 安全 设备 上 
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都 会 默认 定义 一 些 常用 的 安全 服务 ， 如 FTP、HTTP 和 ICMP 等 。 另 外 ， 还 有 如 下 
所 示 几 个 功能 ， 虽 然 在 本 例 中 没有 使 用 ， 但 也 非常 重要 。 


“ 源 端口 ”中 端口 号 的 填写 ， 可 以 用 英文 逗号 分 割 表 示 多 个 端口 ， 或 用 英文 
冒号 分 割 表示 端口 段 。 两 种 分 割 方式 不 能 同时 使 用 。“ 源 MAC” 是 指数 据 包 中 
二 层 的 源 MAC 地 址 。 

“流入 网 口 ”是 限制 网 络 数据 包 的 流入 网 口 ， 可 以 防止 IP 欺 骗 。 可 选 内 容 包 
括 : any 和 所 有 已 激活 的 网 口 。 默 认 值 为 any， 表 示 不 限制 接收 网 口 。 如 果 防 火 墙 
工作 在 透明 模式 ， 必 须 选 择 相应 的 物理 网 口 如 Gil 。 如 果 不 能 确定 流入 网 口 或 工 
作 在 混合 模式 ， 就 选择 any。 


“流出 网 口 ”流出 网 口 检查 ， 当 选择 源 地 址 转换 时 才能 选择 。 在 透明 模式 下 
需要 选择 桥 设 备 。 如 果 不 能 确定 流出 网 口 或 工作 在 混合 模式 ， 应 当选 择 any。 


“时 间 调 度 ” 是 指 在 指定 的 时 间 段 内 ， 安 全 规则 为 生效 状态 ， 在 指定 的 时 间 
段 外 ， 安 全 规则 就 变 为 无 效 。 


CO) 在 防火 墙 上 添加 允许 所 有 的 ping 命 令 都 能 通过 防火 墙 的 策略 。 如 图 4-10 所 
示 ， 是 在 防火 墙 的 WEB 管 理 界面 中 添加 此 策略 的 示意 图 。“ 规 则 名 ”为 ICMP; 
“序号 ”为 18， 也 是 系统 自动 生成 的 ， 注 意 “ 源 地 址 ”和 “目的 地 址 ”中 的 人 P 地 
址 、 子 网 掩 码 任何 内 容 都 没有 填写 。 其 实 这 种 情况 下 ， 不 输入 任何 地 址 就 代表 所 
有 的 IP 地 址 。 也 就 是 所 有 ping 的 数据 包 ， 无 论 它 的 源 地 址 和 目的 地 址 是 什么 IP 地 
址 ， 都 允许 它 通过 防火 墙 ，“ 动 作 ” 选 择 允许 ，“ 服 务 ” 选 择 的 是 icmp_any， 它 
代表 的 就 是 ping 命 令 所 使 用 的 服务 。 在 图 4-10 中 的 还 有 以 下 的 几 个 功能 选项 在 本 
例 中 也 是 没有 使 用 ， 但 也 非常 重要 。 


“长 连接 ” 设 定 该 条 规则 可 以 支持 的 长 连接 时 间 。0 为 不 限时 。 若 限时 ， 则 
有 效 的 时 间 范 围 是 30 一 288000 分 钟 。 如 果 希 望 在 指定 的 时 间 之 后 断 开 连 接 ， 就 可 
以 设 定 该 功能 。 

“深度 过 滤 ” 在 生效 的 安全 规则 中 执行 深度 过 滤 。 不 过 ， 对 数据 包 进 行 应 用 
层 的 过 滤 会 影响 系统 的 处 理性 能 ， 所 以 一 般 情况 下 不 要 启用 深度 过 滤 。 可 以 在 下 
拉 框 的 选项 中 选择 “无 ”， 从 而 不 启用 深度 过 滤 功能 。 


“P2P 过 滤 ” 对 满足 条 件 的 数据 包 进行 BT 过 滤 。Emule 和 Edonkey 过 滤 ， 只 
在 包 过 滤 “ 人 允许 ”的 情况 下 可 用 ， 至 少 选 择 “BT 过 滤 ”、“Emule 和 Edonkey 过 
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滤 ” 的 其 中 一 个 时 ， 才 可 以 选择 “P2P 日 志 纪录 ”。 


ETERRFFTTIEEDYTTTTTTTTETTTTTT Explorer 


: 攻 


: licnp_any 


厂 抗 sry Flood 
厂 抗 mWP Flood 
厂 抗 ICNP Flood 
厂 抗 Ping of Death 


图 4-10 在 WEB 管 理 界面 中 添加 允许 Ping 包 通过 防火 墙 


这 里 BT 过 滤 就 是 对 于 满足 该 规则 的 连接 ， 禁 止 其 BT 下 载 ， 支 持 的 BT 客户 端 
包括 BitComet 0.60 以 下 版 本 、BitTorrent 和 比特 精灵 。Emule 和 Edonkey 过 滤 就 是 
对 于 满足 该 规则 的 连接 ， 禁 止 其 Emule 和 Edonkey 下 载 。 不 过 ， 对 于 已 经 建立 连 
接 的 BT/ed2K 的 下 载 ， 不 能 禁止 ， 必 须 重启 BT/ed2K 客 户 端 后 才能 生效 。 


“ 抗 攻 击 ” 共 包括 4 种 抗 攻 击 。TCP 服 务 可 以 选择 抗 SYN Flood 攻 击 ; UDP 
服务 可 以 选择 抗 UDP Flood 攻 击 ; ICMP 服 务 可 以 选择 抗 ICMP Flood 攻 击 和 抗 Ping 
of Death 攻 击 。 也 可 以 在 一 条 规则 中 ， 选 择 多 个 抗 攻击 选项 。4 种 抗 攻击 的 详细 说 
明 如 下 : 


当 允 许 TCP 规 则 时 ， 选 择 了 抗 SYN Flood 攻 击 ， 防 火 墙 会 对 流 经 的 带 有 Syn 标 
记 的 数据 进行 单独 的 处 理 。 抗 Syn Flood 攻 击 之 后 的 输入 框 填写 数值 的 具体 含义 : 
个 位 数 为 保留 数字 ，0~9 分 别 代 表 抗 攻击 强度 ， 从 弱 到 强 。 设 置 数字 的 位 数 如 果 
超过 两 位 ， 则 该 数字 减 去 个 位 的 数字 表示 限制 每 秒 通过 的 能 够 真正 建立 TCP 连 接 
的 带 有 Syn 标 志 数 据 包 的 个 数 。 如 果 设 置 为 0， 表 示 每 秒 通过 的 带 有 Syn 标 志 的 数 
据 包 大 于 90， 才 进行 能 否 真 正 建立 TCP 连 接 ， 如 果 设 置 为 1， 表 示 每 秒 通 过 的 带 
有 Syn 标 志 的 数据 包 大 于 80， 才 进行 能 否 真正 建立 TCP 连 接 ， 如 果 设 置 为 9， 表 示 
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通过 的 带 有 Syn 标 志 的 数据 包 都 经 过 了 防火 墙 的 判断 ， 确 认 是 可 以 建立 真正 TCP 
连接 的 数据 包 。 


当 人 允许 UDP 规则 时 ， 选 择 了 抗 UDP Flood 攻 击 ， 防 火 墙 会 对 流 经 的 UDP 数据 
进行 单独 的 处 理 。 抗 UDP Flood 攻 击 之 后 的 输入 框 填写 的 数值 的 具体 含义 是 限制 
每 秒 通过 的 UDP 数据 包 的 个 数 。 


当 人 允许 ICMP 规 则 时 ， 选 择 了 抗 ICMP Flood 攻 击 ， 防 火 墙 会 对 流 经 的 ICMP 数 
据 包 进行 单独 的 处 理 。 抗 ICMP Flood 攻 击 之 后 的 输入 框 填写 的 数值 的 具体 含义 是 
限制 每 秒 通 过 的 ICMP 数 据 包 的 个 数 。 


当 人 允许 ICMP 规 则 时 ， 选 择 了 抗 ping of Death 攻 击 ， 防 火 墙 会 对 流 经 的 ICMP 
数据 包 进行 单独 的 处 理 。 含 有 ping of Death 攻击 特征 类 型 的 数据 包 将 被 过 滤 掉 。 


“ 包 过 滤 日 志 ” 强 制 要 求 匹配 该 条 规则 的 数据 包 是 否 需 要 记录 包 过 滤 日 志 。 


(3) 在 防火 墙 的 WEB 管 理 界面 中 ， 配 置 添加 完 以 上 两 条 安全 策略 后 ， 也 就 解 
决 了 在 办 公 区 用 户 的 电脑 上 不 能 ping 通 和 不 能 访问 FTP 服 务 器 上 资源 的 故障 。 


5. 总 结 


(1) 随 着 互联 网 的 飞速 发 展 ， 网 络 安全 问题 越 来 越 突出 ， 人 们 的 安全 意识 也 
不 断 地 提高 ， 但 现在 还 没有 一 项 技术 和 工具 比 防火 墙 解决 网 络 的 安全 问题 更 有 
效 。 利 用 它 强大 的 隔离 和 预防 作用 ， 通 过 在 网 络 边界 进行 隔离 ， 是 改善 网 路 安全 
状况 最 有 效 的 方式 。 防 火 墙 通常 是 圈定 一 个 保护 的 范围 ， 并 假定 防火 墙 是 唯一 的 
出 口 ， 然 后 防火 墙 来 决定 是 放行 还 是 封锁 进出 的 数据 包 。 


防火 墙 不 是 万 能 的 ， 但 没有 防火 墙 是 万 万 不 能 的 。 防 火 墙 不 能 解决 所 有 的 
安全 问题 ， 但 防火 墙 解决 了 绝 大 部 分 的 安全 问题 。 再 配合 其 他 的 安全 技术 和 工 
具 ， 它 能 够 提供 完整 的 安全 解决 方案 。 随 着 互联 网 应 用 的 增加 ， 标 准 软件 的 漏洞 
也 越 来 越 多 ， 这 种 隐患 不 但 没有 很 好 地 解决 ， 而 且 情况 越 来 越 严重 ， 通 过 部 署 防 
火 墙 来 屏蔽 这 种 问题 ， 目 前 还 是 最 有 效 的 手段 。 


(2) 以 上 所 述 ， 都 是 目前 广泛 使 用 的 传统 型 防火 墙 在 网 络 中 所 发 挥 的 巨大 作 
用 及 其 优势 ， 但 是 这 些 传统 防火 墙 都 是 基于 一 种 重要 的 理论 假设 来 进行 安全 防护 
的 。 这 种 理论 认为 如 果 防 火 墙 拒绝 某 类 数据 包 的 通过 ， 则 认为 它 一 定 是 安全 的 ， 
因为 该 类 包 已 经 被 丢弃 。 但 防火 墙 并 不 保证 准许 通过 的 数据 包 是 安全 的 ， 它 无 法 
判断 一 个 正常 的 服务 的 数据 包 和 一 个 恶意 的 数据 包 有 什么 不 同 。 传 统 防火 墙 也 无 
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法 提供 基于 应 用 和 用 户 的 ， 从 第 三 层 到 第 七 层 的 一 体 化 访问 策略 控制 ， 黑 客 常常 
通过 穿 透 合 法 的 80 端 口 ， 就 可 以 轻松 地 让 防火 墙 的 安全 控制 策略 变 成 “父子 和 睹 
子 ”。 此 外 ， 它 也 无 法 提供 基于 应 用 的 流量 分 析 和 报表 展示 ， 无 法 帮助 用 户 了 解 
当前 网 络 边界 的 现状 。 而 且 ， 当 前 的 安全 威胁 已 不 再 是 单一 的 类 型 。 通 常 一 个 完 
整 的 入 侵 行为 包含 了 多 种 技术 手段 ， 如 漏洞 利用 、WEB 入 侵 、 木 马 后 门 、 恶 意 网 
站 等 ， 如 果 将 这 些 安全 威胁 割裂 地 进行 处 理 和 分 析 ， 系 统 的 防范 短 板 依然 存在 。 


新 一 代 的 防火 墙 应 该 加 强 ， 人 允许 通过 防火 墙 的 数据 包 的 安全 性 ， 因 为 网 络 安 
全 的 真实 需求 是 ， 既 要 保证 网 络 安全 ， 也 必须 保证 应 用 的 正常 运行 。 所 以 ， 目 前 
企业 使 用 越 来 越 多 的 七 层 防火 墙 受到 了 更 多 人 的 关注 ， 它 是 一 种 基于 应 用 层 开发 
的 新 一 代 应 用 防火 墙 ， 与 传统 安全 设备 相 比 它 可 以 针对 丰富 的 应 用 提供 完整 的 、 
可 视 化 的 内 容 安全 保护 方案 。 它 解决 了 传统 安全 设备 在 应 用 可 视 化 、 应 用 管控 、 
应 用 防护 、 未 知 威胁 处 理 方面 的 巨大 不 足 ， 并 且 满 足 了 同时 开启 所 有 功能 后 性 能 
不 会 大 幅 下 降 的 要 求 。 七 层 防火 墙 既 满足 了 普遍 互联 网 边界 行为 管控 的 要 求 ， 同 
时 还 满足 了 在 内 网 数据 中 心 和 广域网 边界 的 部 署 要 求 ， 可 以 识别 和 控制 丰富 的 内 
网 应 用 。 


相信 ， 随 着 人 们 对 网 安全 意识 的 不 断 增强 和 各 种 功能 强大 、 性 能 先进 安全 设备 
的 广泛 应 用 ， 一 个 安全 、 绿 色 的 互联 网 会 越 来 越 深 入 到 人 们 的 工作 和 生活 当中 。 


4.3 ” 运 维 实例 : UTM 双 机 热 备 和 虚拟 域 功 能 


目前 ， 人 们 在 享受 网 络 带 给 人 们 工作 、 生 活 种 种 便利 的 同时 ， 也 饱 受 着 各 
种 各 样 网 络 安全 问题 的 威胁 ， 例 如 病毒 、 蠕 虫 、 垃 圾 邮件 、 网 站 钓鱼 和 间谍 软件 
等 。 针 对 这 些 不 安全 的 因素 ， 我 们 需要 在 网 络 中 部 署 不 同 的 设备 去 对 付 它 ， 例 如 
防火 墙 、IPS、VPN、IDS 和 漏洞 扫描 等 。 但 同时 部 署 这 些 不 能 相互 通信 的 多 种 网 
络 安全 产品 ， 不 仅 提高 了 网 络 的 复杂 性 ， 而 且 还 增加 了 管理 操作 成 本 。 这 其 实 不 
是 最 佳 的 部 署 模式 。 


UTM(Unified Threat Management， 统 一 威胁 管理 ) 就 很 好 地 解决 了 上 面 的 问 
题 。 它 在 一 个 硬件 装置 中 集成 了 多 种 安全 特性 ， 带 有 防 病毒 、 网 络 入 侵 监测 、 防 
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垃圾 邮件 、VPN 和 Web 过 滤 等 功能 。 所 有 这 些 功能 不 需要 一 定 被 启用 ， 但 这 些 功 
能 都 集成 在 了 UTM 硬 件 上 ， 一 旦 需要 使 用 的 话 ， 只 需 开 启 即 可 。UTM 在 网 络 中 
的 部 署 ， 增 强 了 全 面 保护 网 络 服务 的 灵活 性 ， 同 时 也 降低 了 部 署 的 复杂 度 。 下 面 
就 以 两 则 实例 介绍 UTM 在 实际 中 的 应 用 。 

1. UTM 双 机 热 备 部 署 模式 的 应 用 


(1)UTM 双 机 热 备 的 总 体 部 署 情况 。 如 图 4-11 所 示 ， 网 络 的 核心 层 和 接 入 层 
分 别 使 用 了 两 台 Cisco4506 和 两 台 Cisco3560 交 换 机 ， 在 Cisco3560 上 接 入 有 多 个 用 
户 组 ， 根 据 用 户 组 所 属 部 门 的 不 同 把 他 们 划 入 到 不 同 的 VLAN 中 。 在 Cisco4506 
和 Cisco3750 之 间接 入 了 两 台 联想 Power V UTM。 两 台 Cisco4506 之 间 和 两 台 
Cisco3560 之 间 都 是 Trunk 连 接 。 设 备 间 的 连接 情况 如 下 所 示 : 


4506A 4506B 


Trunk 


诡 | UTM-A | 


3560A 3560B 


用 户 组 用 户 组 
图 4-11 UTM 双 机 热 备 模式 部 署 图 


Cisco4506A GigabitEthernet6/1 <----> UTM-A Port 1 
Cisco4506B GigabitEthernet6/1 <----> UTM-B Port 1 
Cisco3560A GigabitEthernet1/0/1 <----> UTM-A Port 2 
Cisco3560B GigabitEthernet1/0/1 <----> UTM-B Port 2 


UITM=AY Port 10 <=——=> UIM=B “Port 10 
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联想 UTM 设 备 支持 在 路 由 和 透明 模式 下 的 主 备 和 主 主 模式 的 高 可 用 性 配 
置 ， 但 它 不 支持 全 宛 余 的 连接 模式 。 在 图 4-11 中 ，UTM 工 作 于 路 由 模式 ，HA 监 
控 Port 1 和 Port 2 两 个 接口 。 两 个 UTM 使 用 Port 10 接 口 作为 HA 的 心跳 线 接口 。 


两 台 Cisco4506 之 间 使 用 了 思科 专 有 协议 HSRP， 这 样 当 任意 一 台 4506 故 障 ， 
并 不 会 影响 网 络 中 每 个 用 户 组 对 网 络 的 正常 访问 。 例 如 现在 图 4-11 中 ， 两 台 
Cisco4506 因 为 使 用 HSRP 协 议 ，4506B 处 于 备用 状态 ， 而 4506A 处 于 活动 状态 ， 
也 就 是 说 Cisco4506A 具 有 三 层 路 由 功能 ， 而 4506B 只 有 二 层 交 换 功 能 ， 不 具 
备 路 由 功能 。 


如 果 Cisco4506A 因 为 某 种 原因 发 生 故 障 ， 整 个 交换 机 宕 掉 ， 因 为 HSRP 协 议 
的 作用 ，Cisco4506B 马 上 会 启用 它 自身 的 三 层 路 由 功能 ， 从 而 接管 4506A 上 的 各 
种 功能 。 若 这 时 处 于 活动 状态 的 UTM 是 UTM-A， 因 为 4506A 已 经 宕 机 ，UTM-A 
就 能 监控 到 它 上 面 的 Port 1 端口 上 已 经 没有 数据 ， 又 因为 HA 一 直 监 控 Port 1 和 Port 
2， 所 以 这 时 HA 就 会 启用 UTM-B， 让 它 由 备用 状态 变 为 活动 状态 ， 而 UTM-A 由 
活动 状态 变 为 备用 状态 。 这 时 连接 到 3560 交 换 机 上 的 用 户 组 ， 原 来 访问 核心 交 
换 机 的 数据 都 是 通过 UTM-A 传 输 的 ， 现 在 都 改 成 通过 UTM-B 再 传输 到 核心 交换 
机 。 所 以 说 图 4-11 中 的 配置 模式 ， 无 论 是 核心 交换 机 ， 或 是 UTM 中 的 任意 一 台 发 
生 故 障 都 不 会 影响 到 全 网 用 户 对 网 络 的 正常 访问 。Cisco3560 因 为 是 接 入 层 交 换 
机 ， 所 以 对 它 的 可 靠 性 要 求 不 是 很 高 ， 若 其 中 的 一 台 故 障 的 话 只 会 影响 到 很 少 一 
部 分 用 户 ， 所 以 Cisco3560 没 有 配置 成 负载 均衡 ， 或 者 是 双 机 热 备 的 模式 。 


在 部 署 UTM 双 机 热 备 模式 时 需要 注意 : 双 机 热 备 中 的 UTM， 必 须 是 相同 型 
号 和 相同 软件 版 本 的 UTM 才 可 以 作 双 机 热 备 ， 主 主 模式 (Active 一 Active) 的 双 机 
热 备 ， 支 持 对 TCP 会 话 的 负载 均衡 ， 在 双 机 热 备 的 具体 配置 中 ， 不 要 使 用 主 设备 
的 抢占 模式 。 因 为 主 UTM 往 往 能 抢占 成 功 ， 但 主 UTM 中 的 防火 墙 却 不 抢占 ， 所 
以 应 用 主 设备 抢占 模式 往往 会 导致 UTM 在 功能 应 用 上 的 混乱 。 


(DUTM 双 机 热 备 的 配置 步骤 。 


@ 网 络 接口 配置 。 因 为 在 图 4-11 的 部 署 模式 中 ， 两 台 UTM 就 相当 于 一 台 路 
由 器 ， 所 以 可 以 在 UTM 的 WEB 管 理 界面 中 的 “系统 管理 ”一 “网 络 ” 一 “ 接 
口 ” 中 ， 把 Port 1 和 Port 2 两 个 端口 配置 到 不 同 的 网 段 中 ，Port 1 的 IP 地 址 为 
172.16.2.1， 子 网 掩 码 为 255.255.255.0，Port 2 的 IP 地 址 为 172.16.3.1， 子 网 掩 码 
为 255.255.255.0。 这 时 Port 1 就 位 于 网 络 172.16.2.0/24 中 ， 而 Port 2 就 位 于 网 络 
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172.16.3.0/24 中 。 


同时 ， 接 入 到 Cisco3560 上 的 用 户 组 IP 地 址 也 都 可 以 划 入 到 网 络 172.16.3.0/24 
中 。 这 样 只 需要 在 UTM 上 配置 172.16.2.0/24 和 172.16.3.0/24 两 个 网 络 可 以 互相 访 
问 的 路 由 ， 就 可 以 实现 3560 上 的 用 户 组 对 核心 交换 机 的 正常 访问 。Port 10 接 口 作 
为 UTM 设 备 的 心跳 线 接口 ， 可 以 不 配置 IP 地 址 。 


@HA 参 数 的 具体 配置 。 可 以 在 UTM 的 WEB 管 理 界面 的 “系统 管理 ”一 “了 配 
置 ”一 “高 可 靠 性 ”中 对 HA 参数 进行 具体 的 配置 。 如 图 4-12 所 示 ，“ 高 可 千 
性 ”的 模式 可 以 有 三 种 选择 ，“ 单 独 ” “主动 一 被 动 ”和 “主动 一 主动 ”。 在 本 
例 中 选择 “主动 一 被 动 ”的 模式 ， 也 就 是 双 机 热 备 的 工作 模式 。 其 他 参数 的 配置 
如 图 4-13 所 示 。 


高 可 用 性 
模式 [ 带 祈 司 
设备 忧 先 级 
虚拟 集群 1 [126 
虚拟 集群 2 [126 

[集群 设置 

组 名 Fm 

密码 ee 
三 启动 会 话 交 接 
pord 日 c 口 | 
portlo U 区 Fo 
port2 rc G EI Bp ] 
ports 本 日 c Bp 
ports | [5 口 | 
ports je Cc DC BE 
port6 日 c ; pb | 
port7 器 a 日 pp ] 
porte DD 区 忆 pb | 
port9 上 [| 5 loo 
portal 区 [a | Bp 
portaz 区 日 D Ep | 


图 4-13 UTM 双 机 热 备 HA 参 数 的 配置 
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设备 优先 级 : 缺 省 为 128， 优 先 级 的 值 越 高 设备 被 选择 为 主 设备 的 机 会 越 
大 ， 可 以 根据 实际 的 网 络 环境 确定 是 否 需 要 确定 首选 主 设备 。 图 中 还 有 “虚拟 集 
群 ” 的 选项 ， 这 也 是 联想 Power V UTM 上 的 一 种 功能 ， 可 以 把 一 台 物 理 UTM 设 备 
虚拟 成 两 台独 立 的 逻辑 UTM 设 备 来 使 用 ， 这 将 在 第 “2” 点 中 进行 详细 介绍 。 

密码 ， 为 HA 同步 的 通信 和 密码， 两 全 UTM 设 备 必 须 设置 相同 的 密码 。 

端口 监控 : 为 UTM 设 备 检测 端口 ， 当 该 端口 own 时 ， 设 备 切换 。 注 意 在 没 
有 完成 双 机 协商 前 ， 不 要 配置 “端口 监控 ”。 待 设备 完成 双 机 同步 后 再 配置 “ 端 
口 监控 ”。 

心跳 线 接口 : 为 HA 设备 的 双 机 热 备 接口 ， 填 写 数值 的 接口 表示 该 接口 支持 
双 机 热 备 ， 数 值 大 的 为 主 心 跳 接口 。 


@ 互 连 两 台 UTM 设 备 。 用 一 根 直 通 网 线 ， 也 就 是 一 根 两 端 线 序 一 样 的 双 绞 
线 ， 连 接 两 个 UTM 设 备 的 Port 10 端 口 ， 并 要 保证 双 机 线 的 畅通 。UTM 设 备 在 进 
行 双 机 热 备 工作 时 ， 只 有 主 设备 可 以 被 管理 ， 而 且 所 有 的 配置 均 在 主 设备 上 完 
成 ， 它 会 把 配置 自动 同步 到 备用 设备 上 。 


@ 创 建安 全 访问 策略 。 也 就 是 在 UTM 的 WEB 管 理 界面 中 的 “防火 墙 ”中 配 
置 将 要 在 网 络 中 应 用 的 安全 策略 。 例 如 ， 可 以 在 “防火 墙 ”中 配置 禁止 连接 在 
Cisco3560 上 的 某 个 VLAN 中 的 用 户 访问 核心 交换 机 上 的 数据 。 同 时 ， 所 有 在 主 
UTM 上 配置 的 策略 会 自动 在 两 台 设 备 上 同步 。 


@@ 双 机 热 备 的 切换 测试 。 若 拔 出 接 在 UTM-A 设 备 Port 1 或 Port 2 上 的 网 线 ， 
正常 情况 下 活动 的 UTM 设 备 就 会 切换 到 UTM-B 上 。 然 后 重新 访问 UTM 设 备 的 管 
理 IP 地 址 ， 就 可 以 观察 到 主 、 从 UTM 设 备 的 切换 情况 。 如 果 想 要 管理 双 机 热 备 
中 的 从 UTM 设 备 ， 就 只 能 通过 CLI 命 令 行 的 方式 进行 管理 。 先 要 登录 到 主 设备 
上 ， 然 后 再 在 主 设备 的 CLI 下 对 从 设备 的 UTM 进 行 管理 。 


(3) 小 结 。 


Q@UTM HA 集群。 集群 是 由 两 台 或 更 多 的 UTM 设 备 组 成 一 个 HA 集群 。 对 于 
网 络 而 言 ，HA 集 群 可 以 对 外 界 表现 为 单个 UTM 处 理 网 络 数据 传输 并 提供 常规 的 安 
全 服务 ， 如 防火 墙 功能 、VPN、IPS、 病 毒 检测 、Web 过 滤 和 垃圾 邮件 过 滤 服 务 。 


在 HA 集群 中 ， 单 个 的 UTM 设 备 称 作为 一 个 群集 UTM。 这 些 UTM 共 享 安全 
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策略 与 配置 信息 。 如 果 一 个 群集 UTM 发 生 故 障 ， 集 群 中 的 其 他 UTM 自 动 替 换 故 
障 的 UTM， 承 担 该 UTM 所 做 的 工作 。 和 群集 将 继续 处 理 网 络 数据 传输 ， 并 不 间断 
提供 网 络 安全 服务 。HA 集 群 包括 一 台 主要 的 群集 UTM， 也 称 为 主 UTM， 与 一 台 
或 更 多 的 从 属 群集 UTM， 也 称 从 属 UTM。 主 UTM 控 制 着 整个 群集 的 操作 ， 根 据 
群集 的 操作 模式 ， 主 UTM 发 挥 着 不 同 的 作用 。 


HA 集群 在 发 生 故 障 后 仍 能 够 继续 提供 UTM 功 能 的 特性 称 作 故 障 转移 。UTM 
HA 故障 转移 意味 着 你 的 网 络 不 需要 依赖 一 台 UTM 提 供 服务 ， 可 以 安装 额外 的 
UTM 组 成 一 个 HA 集群 。HA 集 群 的 另 一 个 功能 是 负载 均衡 ， 该 功能 可 以 提高 网 
络 的 使 用 效率 。UTM 群 集 通 过 分 担 处 理 网 络 流量 并 提供 安全 服务 增强 整个 网 络 
的 性 能 。 在 网 络 中 ， 群 集 可 以 作为 单一 JTM， 不 需要 更 改 网 络 配 置 便 可 以 增强 
网 络 的 使 用 效率 。 


@UTM HA 模式 。 联 想 POWER V UTM 防 火 墙 能 够 配置 运行 于 “主动 一 被 
动 (A-P)”， 或 “主动 一 主动 (A-A)” 模 式 。“ 主 一 主 ” 和 “ 主 一 被 ”模式 群集 都 
能 够 运行 于 UTM 的 NAT/ 路 由 或 是 透明 工作 模式 。“ 主 动 一 被 动 (A 一 P)” 模 式 集 
群 ， 是 由 一 台 处 理 网 络 流量 的 主 UTM 以 及 一 台 或 多 台 从 属 UTM 组 成 。 从 属 UTM 
和 主 UTM 连 接 ， 但 并 不 处 理 数据 传输 。“ 主 动 一 主动 (A 一 A)” 模 式 负载 平衡 所 
有 群集 UTM 的 网 络 流量 。 一 个 主动 一 主动 HA 群集 由 一 台 处 理 数据 传输 的 主 UTM 
以 及 一 台 或 多 台 也 同样 进行 数据 传输 处 理 的 从 属 UTM 组 成 。 主 UTM 使 用 负载 平 
衡 策略 分 布 并 平衡 HA 群集 中 所 有 UTM 的 流量 处 理 。 


2. UTM 虚 拟 域 功能 的 应 用 


(1) 使 用 UTM 虚 拟 域 前 的 网 络 部 署 情况 。 单 位 在 部 署 使 用 UTM 虚 拟 域 功能 之 
前 ， 有 两 个 相互 独立 的 网 络 ， 外 网 和 专用 网 ， 网 络 部 署 图 如 图 4-14 和 图 4-15 所 
示 。 两 个 网 络 共 使 用 了 三 台 联 想 Power V UTM， 外 网 中 两 台 ， 专 用 网 中 一 台 。 
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图 4-15 使 用 UTM 虚 拟 域 功能 前 专用 网 图 示 
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Power V UTM 工 作 模式 共有 两 种 ，NAT/ 路 由 模式 和 透明 模式 ， 如 图 4-16 所 
示 。 外 网 两 台 UTM 部 署 的 是 双 机 热 备 ， 工 作 模式 是 NAT/ 路 由 模式 ， 具 有 路 由 
功能 ， 也 就 是 UTM 同 时 也 相当 于 一 台 路 由 器 ， 能 学 习 路 由 ， 转 发 数据 包 ， 本 身 
作为 三 层 设备 参与 到 用 户 环境 中 ， 可 以 控制 多 个 VLAN 之 间 的 数据 包 流 ， 对 收 
到 的 数据 包 ， 能 根据 其 目的 耳 地址 进行 转发 。NAT/ 路 由 模式 还 支持 UTM 设 备 与 
802.1Q 交 换 机 、 路 由 器 之 间 创 建 VLAN Trunk， 提 高 了 用 户 对 设备 配置 的 灵活 
性 。 在 图 4-14 中 的 UTM1 和 UTM2 之 间 还 有 直接 相连 的 心跳 线 ， 图 示 为 了 简洁 没 
有 画 出 。 心 跳 线 的 作用 是 为 了 实现 两 台 UTM 设 备 的 双 机 热 备 功能 。 在 运行 中 主 
UTM 会 将 状态 信息 、NAT 信 息 备 份 到 备用 UTM 中 ， 若 发 生 切 换 ， 备 用 UTM 会 保 
存 完整 的 NAT 转 换 信息 ， 从 而 不 会 导致 用 户 访问 网 络 数据 的 中 断 。 


工作 模式 


[NaT z=] 
图 4-16 UTM 的 两 种 工作 模式 


在 图 4-14 的 逻辑 拓扑 图 中 ，UTM1 和 UTM2 分 别 与 两 台 Cisco4510 的 连接 ， 
图 中 只 画 出 了 一 条 连接 线 。 在 实际 的 部 署 中 ， 每 一 台 UTM 和 Cisco4510 的 连接 都 
有 两 根 连 接线 。 例 如 UTM1 的 Port 1、Port 2 分 别 和 Cisco4510A 的 Gi6/1、Gi6/2 相 
连 ， 其 中 Port 1 和 Gi6/1 都 是 Trunk 口 ， 也 就 是 二 层 端 口 ， 端 口上 都 没有 配置 IP 地 
址 ， 它 们 之 间 属 于 Trunk 连 接 。 但 在 Port 1 下 可 以 配置 多 个 三 层 的 VLAN 子 接口 ， 
同时 在 这 些 子 接口 上 也 可 以 配置 相应 的 耳 地 址 。 而 Port 2 是 属于 三 层 端口 ， 它 上 
面 也 配置 了 IP 地 址 ，Cisco4510 的 Gi6/2 端 口 ， 可 以 划 入 到 4510A 上 的 某 个 VLAN 
中 。 这 样 配置 后 ，Port 1 下 面 的 多 个 三 层 VLAN 子 接口 ， 就 可 以 和 Port 2 的 三 层 端 
口 之 间 相 互通 信 ， 因 为 它们 都 有 了 地 址 ， 都 属于 某 个 子 网 ， 只 有 它们 之 间 有 可 达 
路 由 ， 就 可 以 相互 访问 。 若 不 想 让 Port 1 下 面 的 某 个 三 层 VLAN 子 接口 和 Port 2 之 
间 进 行 通信 ， 就 可 以 在 UTM 上 配置 相应 的 安全 策略 ， 从 而 阻止 它们 之 间 的 相互 
访问 。 这 也 就 是 UTM 设 备 ， 以 旁 路 的 方式 接 入 到 核心 路 由 或 交换 设备 上 ， 并 能 
实现 UTM 设 备 的 三 层 路 由 功能 的 部 署 模 式 。 最 终 通过 在 UTM 设 备 的 防火 墙 中 配 
置 安全 策略 ， 实 现 允 许 /禁止 某 类 用 户 对 特定 数据 的 访问 。 


而 图 4-15 专 用 网 中 UTM 的 工作 模式 是 透明 模式 ， 它 是 以 “ 桥 ” 模 式 运行 的 ， 
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本 身 只 需要 配置 一 个 管理 人 P 地 址 ， 不 必 占 用 任何 其 他 的 人 P 资 源 ， 也 不 需要 改变 用 
户 的 拓扑 环境 ， 设 备 的 运行 对 用 户 来 说 是 “透明 ”的 ， 在 网 络 设备 上 进行 各 种 命 
令 的 配置 时 ， 就 当 不 存在 这 个 UTM 一 样 ， 因 为 它 是 透明 模式 。 它 只 对 线路 上 的 
数据 作 安全 检查 和 安全 策略 上 的 限制 ， 本 身 不 会 影响 网 络 的 整体 架构 和 配置 。 这 
种 模式 在 安装 和 维护 UTM 时 ， 相 对 路 由 模式 来 说 要 简单 很 多 。 


因为 单位 在 安全 方面 的 严格 要 求 ， 专 用 网 中 必须 使 用 UTM 设 备 。 但 是 目前 
专用 网 中 只 有 一 台 UTM， 一 旦 UTM 发 生 故 障 后 ， 专 用 网 将 面临 无 安全 防护 的 隐 
患 。 这 种 情况 下 ， 也 可 以 考虑 再 购买 一 台 和 专用 网 中 一 模 一 样 的 UTM 设 备 ， 这 
样 把 两 台 设 备 配 置 为 双 机 热 备 或 负载 均衡 的 模式 ， 就 是 把 买 来 的 UTM 作 为 冷 备 
也 可 以 。 这 样 当 其 中 的 一 台 故 障 后 ， 另 外 一 台 就 可 以 马上 蔡 换 掉 有 故障 的 一 台 。 
但 一 台 UTM 设 备 ， 因 为 它 上 面 集成 了 多 种 安全 功能 ， 所 以 在 价格 方面 也 非常 昂 
贵 ， 一 台 至 少 也 要 十 多 万 人 民 币 ， 而 单位 经 费 紧 张 ， 所 以 考虑 买 UTM 设 备 的 办 
法 行 不 通 。 我 们 经 过 查阅 联想 UTM 的 各 种 随机 文档 ， 发 现 它 具 有 “UTM 虚 拟 
域 ” 的 功能 。 


其 实 ，UTM 虚 拟 域 功能 就 是 可 以 把 一 台 UTM 物 理 设备 划分 为 多 个 虚拟 域 ， 
每 个 虚拟 域 在 逻辑 上 就 相当 于 一 台 单独 UTM 物 理 设备 ， 每 个 虚拟 域 也 可 以 单独 
设置 路 由 、 防 火 墙 策略 、 防 病毒 策略 、IPS 策 略 等 。 这 样 就 可 以 为 多 个 企业 组 织 
部 署 一 个 UTM， 将 其 划分 成 若干 个 逻辑 设备 分 配给 不 同 的 企业 组 织 ， 并 且 为 其 
设置 相应 的 逻辑 设备 管理 权限 ， 这 样 每 个 被 服务 的 企业 组 织 可 以 单独 管理 安全 设 
置 ， 并 查看 相应 的 日 志 信息 。 


(2) 配 置 UTM 虚 拟 域 的 具体 步骤 。 


在 UTM WEB 管 理 界面 中 的 “系统 管理 ”一 “状态 ”界面 中 ， 首 先 要 启用 
虚拟 域 功能 ， 当 然 要 是 不 想 使 用 虚拟 域 的 功能 ， 也 可 在 此 选择 停 用 其 功能 。 图 示 
中 的 “虚拟 域 ” 功 能 已 经 启用 ， 单 击 “ 停 用 ”就 中 止 了 UTM 的 虚拟 域 功能 。 


@ 在 “系统 管理 ”一 “虚拟 域 ” 的 管理 界面 中 ， 单 击 “ 新 建 ” 的 功能 按钮 ， 
就 能 新 建 一 个 UTM 虚 拟 域 ， 并 填写 虚拟 域 的 名 称 为 ca， 并 配置 虚拟 域 ca 的 “工作 
模式 ”为 透明 模式 ， 如 图 4-17 所 示 。 


加 在 “系统 管理 ”一 “网 络 ” 一 “接口 ”的 管理 界面 中 ， 单 击 将 要 放 入 虚拟 
域 ca 的 某 接口 的 “编辑 ”功能 按钮 ， 在 “虚拟 域 ” 的 下 拉 菜 单 中 选择 虚拟 域 ca， 
如 图 4-18 所 示 。 
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图 4-17 新 建 虚拟 域 图 示 


端口 编辑 
| 接口 名 称 port3 (00;09:0F:61:20:E6) 
虚拟 域 root =] 
地 址 模式 
全 自 定义 CDHCP CPpppoE 
IP 地 址 /网 络 挤 [| 
DDNS 万 局 用 
Ping 服 务 器 DD 局 用 
管理 访问 区 HTTPS 区 PING 区 HTTP 
MssH WB SNMP 区 TELNET 
MTU 厂 分 解 大 于 MTU 的 输出 包 ， [1500 “ ( 字 节 ) 
日 志 口 


图 4-18 ”把 端口 划 入 到 相应 的 虚拟 域 中 


@ 在 新 建 的 虚拟 域 中 ， 配 置 防火 墙 的 安全 策略 、 防 病毒 功能 和 入 侵 检测 
功能 。 


@@ 把 专用 网 中 ， 原 来 连接 在 专用 网 中 的 Cisco3750 和 Cisco2960 上 的 两 根 接 入 
到 UTM 上 的 网 线 ， 连 接 到 UTM2 上 新 建 虚拟 域 中 的 相应 端口 上 。 


(3) 使 用 UTM 虚 拟 域 后 的 网 络 部 署 情 况 。 改 造 后 的 网 络 结构 图 如 图 4-19 所 
示 。 从 图 中 可 以 看 出 ，UTM2 处 于 活动 状态 ， 也 就 是 主 UTM， 而 UTM1 处 于 备用 
状态 。 因 为 在 主 UTM 上 所 做 的 任何 配置 ， 都 会 同步 到 备用 的 UTM 上 ， 也 就 是 在 
UTM1 上 也 有 一 个 和 在 UTM2 上 一 模 一 样 的 虚拟 域 ， 此 虚拟 域 也 和 原来 专用 网 中 
的 UTM 功 能 是 一 样 的。 这 样 如 果 图 4-19 中 的 UTM2 故 障 的 话 ， 因 为 双 机 热 备 模 
式 的 缘故 ，UTM1 马 上 就 从 备用 状态 转变 为 活动 状态 ， 接 管 UTM2 的 各 种 业务 ， 
UTM2 的 状态 也 就 从 主 UTM 变 成 了 备用 状态 。 一 旦 UTM2 变 成 了 备用 状态 ， 在 它 
上 面 的 替代 原来 专用 网 中 的 UTM 的 虚拟 域 也 就 从 活动 状态 变 成 了 备用 状态 ， 
为 整个 UTM2 设 备 的 状态 都 成 为 备用 的 了 。 
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图 4-19 ”使 用 UTM 虚 拟 域 后 网 络 结构 图 


所 以 图 4-19 中 ， 一 旦 UTM1 和 UTM2 的 运行 状态 发 生变 化 后 ， 网 络 工程 师 一 
定 要 尽快 把 接 在 专用 网 中 两 个 交换 机 上 的 连接 UTM2 的 两 根 网 线 ， 接 入 到 UTM1 
上 对 应 的 虚拟 域 的 端口 上 。 这 样 才能 保证 专用 网 再 次 安全 稳定 地 运行 。 启 用 
UTM 虚 拟 域 功 能 前 的 原来 专用 网 中 使 用 的 UTM 已 经 断 电 不 再 使 用 。 但 它 可 以 作 
为 图 4-19 中 UTM1 和 UTM2 的 冷 备 。 即 使 UTM1 和 UTM2 两 个 设备 都 故障 了 ， 可 以 
再 把 原来 专用 网 中 的 UTM 上 电 ， 同 样 可 以 保证 专用 网 的 安全 正常 访问 。 


UTM 虚 拟 域 功能 的 使 用 ， 在 为 单位 节省 一 大 笔 经 费 的 同时 ， 也 提高 了 专用 
网 的 安全 性 和 可 靠 性 。 

(4 小结。 

UTM 设 备 功能 很 强大 ， 几 乎 现在 所 有 安全 产品 的 功能 在 UTM 中 都 能 找到 。 
它 增 强 了 网 络 的 安全 性 ， 避 免 了 网 络 资源 的 误 用 和 滥用 ， 在 更 有 效 地 使 用 通信 资 
源 的 同时 ， 它 也 不 会 降低 网 络 的 性 能 。UTM 也 是 易于 管理 的 设备 ， 它 的 功能 包 
括 : 应 用 层 服务 ， 例 如 病毒 防护 、 入 侵 检测 、 垃 圾 邮件 过 滤 、 网 页 内 容 过 滤 以 及 
IM/P2P 过 滤 服 务 ， 网 络 层 服务 ， 例 如 防火 墙 、 入 侵 检测 、IPSec 与 SSL VPN 及 流 
量 控 制 ， 管 理 服务 ， 例 如 用 户 认 证 、 设 备 管理 设置 、 安 全 的 WEB 与 CLI 管 理 访问 
以 及 SNMP 功 能 。 
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但 是 建议 在 开启 UTM 虚 拟 域 功能 的 同时 ， 不 要 再 使 用 UTM 上 的 其 他 功能 。 
因为 虚拟 域 功能 在 逻辑 上 就 相当 于 在 不 增加 任何 UTM 硬 件 资源 的 情况 下 ， 又 虚 
构 出 一 个 UTM 设 备 ， 所 以 虚拟 域 功能 会 占用 大 量 UTM 设 备 上 的 CPU、 内 存 等 资 
源 ， 这 时 若 再 启用 UTM 上 的 其 他 功能 ， 必 定 会 大 大 增加 UTM 的 负荷 ， 这 其 实 也 
就 给 它 的 使 用 带 来 了 不 稳定 因素 。 因 为 所 有 设备 在 超 负荷 的 运行 下 ， 故 障 率 都 会 
大 大 增加 。 所 以 建议 在 没有 特殊 需求 的 情况 下 ， 使 用 UTM 虚 拟 域 功能 时 不 要 过 
多 开启 UTM 上 的 其 他 功能 。 


4.4” 运 维 实例 : SSL VPN 部 署 与 排 陪 


目前 ， 越 来 越 多 的 用 户 可 以 在 远程 通过 互联 网 访问 企业 内 部 的 资源 。 但 单位 
内 部 的 资源 ， 常 常 因为 安全 性 的 要 求 ， 不 能 直接 放置 在 Internet 上 。 为 了 满足 这 
种 远程 访问 企业 内 部 资源 的 需求 ，SSL VPN(Security Socket Layer Virtual Private 
Network， 安 全 套 接 层 虚 拟 专用 网 络 ) 应 运 而 生 ， 它 完全 可 以 满足 用 户 在 这 方面 
的 需求 。 下 面 就 以 一 家 报社 的 分 社 ， 访 问 总 社内 网 中 FTP 服 务 器 资源 为 例 ， 介 绍 
SSLVPN 的 部 署 搭建 、 客 户 端的 安装 及 其 故障 排除 。 


1. SSL VPN 的 部 署 情 况 


图 4-20 所 示 ， 是 总 社 SSL VPN 部 署 的 基本 架构 拓扑 图 。SSL VPN 设 备 放 置 在 
DMZ 区 ， 和 DMZ 区 的 交换 机 3750 相 连 。FW-A 和 FW-B 是 DMZ 区 的 两 台 防 火 墙 ， 
在 网 络 的 内 部 还 部 署 有 两 台 服务 器 的 防火 墙 YW1 和 FW2。 分 社 的 用 户 位 于 全 国 
的 各 个 省 份 ， 他 们 通过 Internet 访 问 总 社 网 络 服务 器 的 资源 总 共 要 经 过 以 下 四 个 
阶段 : 


第 一 阶段 : 如 图 4-20 所 示 ， 分 社 的 用 户 PC 通过 Intermet， 把 数据 发 送 到 Cisco 
6503，6503 再 把 数据 包 路 由 到 防火 墙 FW-A 或 FW-B， 然 后 经 过 Cisco3750， 最 后 
到 达 SSL VPN 设 备 上 。 


第 二 阶段 :SSL VPN 设 备 收 到 分 社 用 户 PC 访问 的 数据 包 ， 对 数据 包 进行 解 封 
装 后 ， 知 道 它 是 要 访问 总 社 网 络 中 的 FTP 服 务 器 。 然 后 SSL VPN 设 备 就 会 发 起 一 
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个 代理 分 社 用 户 PC 对 FTP 服 务 器 的 访问 。 通 过 3750、FW-A 或 FW-B、4506、FW1 
或 FW2 和 2960， 最 终 到 达 FTP 服 务 器 。 


BC 


FW1| FW2 
| 
| 
2960-A| -一 2960-B 
E-MAIL FTP 


图 4-20 ”SSL VPN 网 络 部 署 拓扑 图 


第 三 阶段 :这 个 阶段 数据 包 的 传输 过 程 ， 其 实 和 第 二 阶段 数据 包 的 传输 方向 
正好 相反 。 当 SSL VPN 访 问 的 数据 包 到 达 FTP 服 务 器 后 。FTP 服 务 器 需要 对 接收 
到 的 数据 包 进 行 处 理 ， 然 后 再 把 数据 包 重 新 封装 返回 给 SSL VPN。 数 据 传输 的 路 
径 是 通过 2960 交 换 机 、FW1 或 FW2 防 火 墙 、4506 交 换 机 、FW-A 或 FW-B 防 火 墙 ， 
然后 再 经 过 3750， 最 后 到 达 SSL VPN。 


第 四 阶段 : 当 SSL VPN 设 备 收 到 FTP 服 务 器 处 理 完 的 数据 包 后 ， 就 会 把 数 
据 包 返回 给 位 于 分 社 的 用 户 PC。 数 据 的 流向 是 先 经 过 3750、FW-A 或 FW-B 防 火 
墙 、6503， 然 后 通过 互联 网 的 传输 ， 最 终 到 达 用 户 PC。 


以 上 四 个 阶段 就 是 分 社 用 户 通过 Internet 采 用 SSL VPN 的 方式 访问 单位 内 部 服 
务 器 资源 的 一 个 完整 过 程 。 
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2. SSL VPN 客 户 端的 部 署 与 安装 


部 署 SSL VPN 网 络 ， 最 复杂 的 是 在 SSL VPN 设 备 上 的 配置 ， 因 为 要 在 设备 上 
面 设置 访问 内 网 中 各 个 服务 器 的 耳 地址 和 各 种 应 用 程序 的 端口 号 。 但 是 随 着 SSL 
VPN 功 能 的 不 断 强大 ， 通 常 在 客户 端 也 要 进行 以 下 两 方面 的 配置 。 


(D 安 装 SSL VPN 的 客户 端 插件 。 如 本 例 中 使 用 的 是 深信 服 SSL VPN， 当 用 户 
PC 第 一 次 用 浏览 器 以 https 的 方式 访问 总 社内 网 资源 时 ， 会 提示 安装 如 图 4-21 所 示 
的 插件 。 如 果 不 安 装 此 插件 的 话 ， 用 户 就 不 能 在 远程 PC 上 使 用 SSL VPN 的 功能 。 
而 且 ， 不同 品牌 的 SSL VPN 客 户 端 插件 ， 所 实现 的 功能 是 不 一 样 的 ， 有 的 是 在 用 
户 的 PC 上 形成 虚拟 网 卡 ， 有 的 插件 安装 后 会 更 改 浏览 器 上 的 一 些 默 认 设置 。 


发 送 方 : LNinstAlLexe 


| 
| 回 打开 尼 文 件 前 是 询问 QD 
| 时 于 


图 4-21 SSL VPN 客 户 端 安装 程序 示意 图 


(2) 在 分 社 用 户 PC 的 桌面 上 ， 建 立 连接 SSL VPN 的 快捷 方式 。 在 用 户 PC 的 浏 
览 器 地 址 栏 中 输入 以 https 方 式 访问 总 社 SSL VPN 的 地 址 后 回 车 ， 进 入 到 访问 总 社 
内 网 资源 的 首页 面 。 然 后 在 浏览 器 中 依次 单 击 “文件 ”一 “发 送 ” 一 “桌面 快捷 
方式 ”后 就 可 以 在 电脑 的 桌面 上 建立 访问 SSL VPN 的 快捷 方式 。 这 样 下 次 再 想 使 
用 SSL VPN 时 ， 只 需 直接 打开 桌面 的 SSL VPN 快 捷 方式 即 可 ， 不 用 再 在 浏览 器 的 
地 址 栏 中 输入 访问 总 社 网 络 资源 的 网 址 ， 方 便 快捷 。 


3. 排除 分 社 使 用 SSL VPN 访 问 总 社内 网 资源 速度 慢 的 故障 


因为 把 SSL VPN 快 捷 方式 和 客户 端 驱 动 建立 安装 完成 后 ， 发 现 使 用 SSL VPN 
访问 总 社内 网 的 资源 速度 非常 慢 ， 严 重 影响 了 分 社 用 户 的 正常 工作 ， 很 长 时 间 都 
打 不 开 网 页 页 面 。 后 来 ， 经 过 多 次 的 测试 发 现 ， 分 社 用 户 在 每 天 的 下 午 访问 互联 
网 ， 包 括 使 用 SSL VPN 访 问 总 社内 网 的 资源 速度 非常 慢 。 但 在 每 天 的 上 午时 间 
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网 络 的 速度 比 下 午 要 好 很 多 。 而 且 这 种 现象 是 分 社 所 有 用 户 都 是 这 种 情况 ， 并 不 
是 一 部 分 用 户 或 是 个 别 用 户 访问 速度 慢 。 这 就 排除 了 网 速 慢 的 故障 和 用 户 的 电脑 
没有 关系 ， 很 可 能 是 分 社 网 络 的 问题 。 


后 来 经 过 查看 分 社 的 网 络 架 构 ， 发 现 分 社 是 和 另外 的 其 他 用 户 共用 一 互联 
网 出 口 带宽 。 如 图 4-22 所 示 ， 而 且 共用 带宽 的 “其 他 用 户 ”， 因 为 工作 原因 ， 下 
午 的 时 间 是 他 们 上 网 的 高 峰 时 段 。 所 以 当 “ 其 他 用 户 ” 在 高 峰 时 段 上 网 占用 出 口 
更 多 的 带宽 后 ， 就 会 严重 影响 到 分 社 用 户 访问 互联 网 的 速度 ， 从 而 影响 使 用 SSL 
VPN 访 问 总 社内 网 资源 的 速率 。 因 为 SSL VPN 也 是 通过 Intemet 传 输 数 据 的 。 


2 
1 


路 由 器 


全 
总 社 网 络 


图 4-22 分 社 网 络 出 口 结构 示意 图 


解决 上 面 的 故障 其 实 也 很 简单 ， 只 要 能 保证 分 社 用 户 访问 互联 网 有 足够 的 用 
户 带宽 即 可 。 一 种 方法 是 可 以 在 分 社 的 网 络 中 ， 安 装 部 署 上 网 行为 的 管理 设备 ， 
严格 限制 用 户 传输 和 工作 无 关 的 访问 互联 网 的 流量 ， 以 保证 正常 工作 的 网 络 流 
量 。 第 二 种 方法 是 把 分 社 用 户 的 出 口 光 纤 和 图 4-22 中 “其 他 用 户 ” 的 出 口 光纤 分 
开 ， 不 要 合 二 为 一 ， 而 是 各 用 各 的 。 这 样 分 开 后 ， 分 社 用 户 互联 网 出 口 光 纤 的 带 
宽 就 不 会 受到 “其 他 用 户 ” 的 影响 。 


4. 总 结 


SSL VPN 采 用 标准 的 安全 套 接 层 协 议 对 传输 中 的 数据 包 进 行 加 密 ， 从 而 在 
应 用 层 保护 了 数据 的 安全 性 。 此 协议 基于 X.509 证 书 ， 支 持 多 种 加 密 算法 。 在 和 
IPSec VPN 的 竞争 中 ，SSL VPN 越 来 越 显示 出 它 的 优越 性 。 不 但 配置 简单 ， 而 且 
部 署 容易 ， 使 有 方便、 灵活， 特别 适合 用 于 满足 移动 用 户 在 家 办 公 或 远程 办 公 的 
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需求 。 报 业 通 常 在 国内 外 拥有 许多 分 支 机 构 ， 记 者 在 世界 各 地 捕捉 最 新 的 新 闻 消 
息 。 同 时 ， 对 于 报社 的 编辑 记者 访问 报社 内 部 网 络 有 着 大 量 的 需求 ，SSL VPN 
的 出 现 可 以 极 大 地 方便 记者 移动 办 公 、 编 发 稿件 ， 从 而 提高 报社 新 闻 采 编 的 技 
术 性 。 


4.S 运 维 实例 : IDS 在 网 络 中 的 部 署 与 配置 


随 着 互联 网 的 高 速 发 展 ， 也 产生 了 各 种 各 样 的 安全 问题 。 网 络 中 的 蠕虫 、 病 
毒 及 垃圾 邮件 肆意 泛滥 ， 木 马 无 孔 不 入 ，DDoS 攻 击 越 来 越 常见 ， 黑 客 攻 击 行为 
几乎 每 时 每 刻 都 在 发 生 。 如 何 及 时 地 、 准 确 地 发 现 违反 安全 策略 的 事件 并 及 时 处 
理 ， 是 广大 企业 用 户 人 迫切 需要 解决 的 问题 。 


IDS(Intrusion Detection System， 入 侵 检测 系统 ) 是 对 防火 墙 的 有 效 补充 ， 能 
实时 检测 网 络 流量 ， 监 控 各 种 网 络 行为 ， 对 违反 安全 策略 的 流量 及 时 报警 和 防 
护 ， 实 现 从 事前 警告 、 事 中 防护 到 事后 取证 的 一 体 化 解决 方案 。IDS 都 具有 高 性 
能 、 高 安全 性 、 高 可 靠 性 和 易 操 作 性 等 特点 ， 具 备 全 面 入 侵 检测 、 可 靠 的 WEB 
威胁 检测 、 细 粒度 流量 分 析 及 用 户 上 网 行为 监测 等 四 大 功能 ， 为 用 户 带 来 了 极 佳 
的 安全 体验 。 


1. 公司 网 络 结构 


网 络 结构 图 如 图 4-23 所 示 。 为 了 确保 重要 设备 的 稳定 性 和 宛 余 性 ， 核 心 层 交 
换 机 使 用 两 台 Cisco4506， 通 过 Trunk 线 连接 。 在 接 入 层 使 用 了 多 台 Cisco3750 交 换 
机 ， 图 示 为 了 简洁 ， 只 画 出 了 两 台 。 在 核心 交换 机 上 连接 有 单位 重要 的 服务 器 ， 
如 安全 中 心 、DHCP、E-MAIL 和 WEB 服 务 器 等 。 单 位 JP 地 址 的 部 署 ， 使 用 的 是 B 
类 私有 172 网 段 的 地 址 。 安 全 中 心服 务 器 的 他 地 址 是 172.16.2.1/24，DHCP 服 务 器 
的 地 址 为 172.16.10.1/24。 
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图 4-23 ”网 络 结构 图 


2. 网 络 设备 和 IDS 主 要 配置 


(1) 网 络 设备 配置 。 单 位 网 络 主要 分 为 办 公 网 和 业务 网 ， 业 务 网 所 使 用 VLAN 
的 范围 是 VLAN 11~~VLAN 30， 办 公 网 所 使 用 的 VLAN 范 围 是 VLAN 51 一 VLAN 
90。 两 个 网 都 是 通过 两 台 核 心 交换 机 4506 交 换 数据 的 ， 但 在 逻辑 上 是 相互 隔离 
的 ， 只 有 特定 的 卫 地 址 才能 访问 到 网 络 以 外 的 资源 。 单 位 的 服务 器 都 是 直接 连接 
到 4506 上 ， 所 使 用 的 VLAN 范 围 是 VLAN 2~VLAN 10。 


@ 在 业务 网 中 ， 根 据 部 门 性 质 的 不 同 ， 在 Cisco4506 和 Cisco3750 上 做 相应 的 
配置 ， 把 它们 划分 到 不 同 的 VLAN 中 。 下 面 以 业务 网 中 VLAN 11 的 配置 为 例 ， 列 
出 其 相关 命令 ， 首 先是 在 Cisco3750B 上 的 配置 如 下 所 示 : 
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Cisco3750B#VLAN database 

Cisco3750B (VLAN) #VLAN 11 // 创 建 VLAN 11 

Cisco3750B (config)#interface range gigabitEthernet 1/0/1-24 
// 对 3750 上 1 ~ 24 端 口 同 时 进行 配置 

Cisco3750B (config-if-range)# switchport 

Cisco3750B (config-if-range)#switchport access VLAN 11 


// 把 3750 上 1 ~ 24 端 口 都 划 入 VLAN 11 


Cisco4506B 上 的 配置 如 下 所 示 : 


Cisco4506B (config)#interface VLAN 11 

Cisco4506B (config-if)#ip address 172.16.11.252 255.255.255.0 
// 创 建 VLAN 11 的 SVI 接 口 ， 并 指定 TP 地 址 

Cisco4506B (config-if)ip helper-address 172.16.10.1 

/ /配置 DHCP 中 继 功 能 

Cisco4506B (config-if) standby 11 priority 150 preempt 
Cisco4506B (config-if) standby 11 preempt 

Cisco4506B (config-if) standby 11 ip 172.16.11.254 


// 配 置 VLAN 11 的 HSRP 参 数 


@ 同 样 在 办 公 网 中 ， 也 是 根据 部 门 性 质 的 不 同 ， 把 它们 划分 到 不 同 的 VLAN 
中 ， 也 要 在 Cisco3750A 和 Cisco4506A 上 进行 和 上 面相 对 应 的 配置 。 
图 网 络 中 的 “安全 中 心 ” 服 务 器 ， 在 连接 到 网 络 中 时 ， 为 了 保证 它 在 网 络 中 


的 元 余 性 和 稳定 性 ， 服 务 器 上 使 用 了 双 网 卡 ， 也 就 是 一 块 网 卡 连接 到 4506A， 另 
外 一 块 网 卡 连接 到 4506B， 两 块 网 卡 使 用 的 是 同一 个 也 地 址 172.16.2.1/24。 这 样 就 
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可 以 避免 当 服务 器 上 的 一 块 网 卡 故 障 时 ， 另 外 一 块 网 卡 可 以 马上 由 备用 状态 转换 
为 转发 状态 ， 从 而 不 会 影响 “安全 中 心 ”服务 器 和 核心 交换 机 的 数据 通信 。 


单位 网 络 中 的 服务 器 都 是 直接 连接 到 核心 交换 机 4506 上 的 ， 如 图 4-24 所 示 。 
所 以 有 关 服 务 器 的 网 络 配 置 ， 都 是 在 4506 上 配置 的 ， 下 面 以 VLAN 2 为 例 说 明 它 
在 Cisco4506A 上 的 配置 如 下 所 示 : 


服务 器 都 位 于 
VLAN 2~VLAN 10 


图 4-24 ”服务 器 在 网 络 中 的 连接 示意 图 


Cisco4506A#vlan database 

Cisco4506A (VLAN)#VLAN 2 

Cisco4506A (config)#interface range gigabitEthernet 6/2-10 
Cisco4506A (config-if-range)# switchport 

Cisco4506A (config-if-range)#switchport access VLAN 2 


Cisco4506A (config)#interface VLAN 2 
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Cisco4506A (config-if)#ip address 172.16.2.252 255.255.255.0 
Cisco4506A (config-if)ip helper-address 172.16.10.1 
Cisco4506A (config-if)standby 2 priority 150 

Cisco4506A (config-if) standby 2 preempt 


Cisco4506A (config-if)standby 2 ip 172.16.2.254 


同样 ， 在 Cisco4506B 上 也 会 做 如 上 所 示 相 应 的 配置 。 


(2)IDS 的 相关 配置 。 单 位 IDS 的 部 署 ， 采 用 的 是 在 两 个 关键 网 段 ( 业 务 网 和 
办 公 网 ) 实 现 监控 。 并 利用 安全 中 心 集中 管理 两 台 入 侵 检测 系统 ， 以 达到 实时 掌 
握 全 网 的 安全 状况 。 业 务 IDS 和 办 公 IDS 针 对 各 自 网 络 中 数据 性 质 的 不 同 ， 制 定 
了 不 同 的 规则 和 响应 方式 ， 每 个 IDS 分 别 执行 不 同 的 安全 策略 ， 实 现 面向 不 同 对 
象 、 不 同 策略 的 精细 化 入 侵 检测 。 


@ 在 两 个 IDS 中 ， 不 用 对 “监控 口 ” 做 任何 的 设置 ， 它 只 是 接受 从 两 个 4506 
的 6/1 镜 像 端 口上 传输 过 来 的 数据 ， 然 后 IDS 对 数据 进行 加 工 和 分 析 。 在 4506A 和 
4506B 上 对 镜像 口 6/1 的 配置 如 下 所 示 ， 首 先是 在 4506A 上 的 配置 : 


Cisco4506A (config)#monitor session 1 source VIAN 11-30 , 2-10 both 


Cisco4506A (config)#monitor session 1 destination 


interface gigabitEthernet 6/1 


第 一 个 配置 命令 意思 是 指定 SPAN 的 会 话 号 为 1， 并 对 VLAN 11~VLAN 30 和 
VLAN 2~VLAN 10 中 的 双向 通信 数据 流 进行 监控 。 第 二 个 配置 命令 的 意思 是 指 
定 Cisco4506A 的 6/1 端 口 作为 SPAN 1 会 话 的 目标 端口 。 


同样 ， 在 4506B 上 做 如 下 配置 : 


Cisco4506B (config)#monitor session 2 source VLAN 51 - 
50 2 = LO Do 
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Cisco4506B (config)#monitor session 2 destination 


interface gigabitEthernet 6/1 


在 4506 上 要 想 查看 某 一 会 话 的 配置 状态 及 被 监听 的 端口 ， 可 以 使 用 命令 
“Cisco4506A#show monitor session 1”， 也 可 在 后 面 再 加 上 一 个 “detail” 参 
数 ， 就 会 显示 出 更 加 详细 的 内 容 。 如 果 要 取消 某 一 SPAN 会 话 ， 可 以 使 用 命令 


“Cisco4506A (config)# no monitor session 1”。 


SPAN(Switched Port Analyzer， 交 换 端口 分 析 仪 )， 有 时 也 称 端口 镜像 或 者 端 
口 监控 。 利 用 SPAN 技 术 可 以 把 交换 机 上 某 些 想 要 被 监控 端口 的 数据 流 复制 或 镜 
像 一 份 ， 发 送 给 连接 在 监控 端口 上 的 IDS。 这 样 IDS 就 可 以 对 所 有 的 数据 进行 全 
面 的 分 析 监控 。 


@ 对 业务 IDS 和 办 公 IDS 的 管理 和 配置 都 是 通过 “安全 中 心 ” 服 务 器 实施 
的 。 两 台 4506 都 是 通过 端口 6/2 和 IDS 连 接 ， 因 为 从 上 面 的 配置 中 可 以 看 出 两 台 
4506 端 口 6/2 都 划 入 到 了 VLAN 2 中 。 


同时 ， 把 业务 IDS 管 理 口 的 IP 地 址 配置 为 172.16.2.2/24， 办 公 IDS 管 理 口 IP 地 
址 配置 为 172.16.2.3/24， 安 全 中 心 的 IP 地 址 是 172.16.2.1/24。 所 以 两 台 IDS 和 安全 
中 心服 务 器 的 人 P 地 址 都 是 在 同一 网 段 。 当 管理 和 配置 IDS 时 ， 只 需 在 安全 中 心服 
务 器 的 浏览 器 地 址 栏 中 输入 对 应 IDS 管 理 口 的 人 P 地 址 ， 就 能 进入 对 应 IDS 的 WEB 
管理 配置 界面 ， 然 后 就 能 对 IDS 各 个 参数 进行 设 定 。 


3. 结束 语 


目前 ， 互 联网 上 每 天 都 有 成 千 上 万 的 蠕虫 、 病 毒 、 木 马 、 垃 圾 邮件 在 网 络 上 
传播 ， 阻塞 甚 至 中 断 网 络 ， 企 业内 部 员工 试图 尝试 获取 未 授权 的 企业 内 部 资源 ; 
同时 随 着 安全 漏洞 不 断 被 发 现 ， 入 侵 者 的 技巧 和 破坏 能 力 不 断 提高 ， 而 且 入 侵 者 
在 实施 入 侵 或 攻击 时 往往 同时 采取 多 种 入 侵 的 手段 ， 以 保证 入 侵 的 成 功 几 率 。 这 
些 威胁 对 企业 造成 了 巨大 的 损失 ， 而 对 于 上 述 威胁 ， 传 统 防火 墙 和 防 病毒 系统 都 
无 法 有 效 地 检测 。 为 了 弥补 防火 墙 的 不 足 ， 我 们 需要 利用 IDS， 实 时 监控 网 络 资 
源 ， 精 确 识 别 各 种 入 侵 攻 击 ， 防 止 入 侵 造 成 危害 。 在 检测 到 入 侵 攻 击 时 ， 能 够 及 
时 报警 ， 动 态 防 御 ， 减 少 入 侵 带 来 的 损失 。 
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虚拟 化 和 IPv6 曾 经 是 很 热 的 词汇 ， 不 过 现在 逐渐 地 被 大 数据 所 取代 。 虚 拟 化 
技术 现在 已 应 用 到 绝 大 多 数 的 公司 和 企业 中 ， 也 确实 给 这 些 单位 带 来 了 实 实在 在 
的 好 处 。 比 如 服务 器 虚拟 化 ， 原 来 是 单位 每 上 一 个 应 用 系统 ， 就 需要 有 一 台 服 务 
器 去 支撑 ， 若 考虑 到 双 机 热 备 的 话 ， 则 至 少 需要 部 署 两 台 。 如 果 有 20 个 应 用 系 
统 ， 双 机 热 备 部 署 ， 就 需要 40 台 服务 器 ， 再 加 上 大 概 5 台 数据 库 服务 器 。 这 20 个 
应 用 系统 ， 总 共 需 要 45 台 服务 器 ， 按 照 10 台 服务 器 一 个 机 柜 ， 就 需要 5 个 机 柜 。 


放置 机 柜 你 绝对 不 能 把 它 放 置 在 办 公 室 那 样 的 环境 中 ， 必 须 放 置 在 专业 的 机 
房 中 。 要 保证 服务 器 和 应 用 系统 24 小 时 无 间断 地 工作 ， 就 必须 在 机 房 的 电力 、 温 
湿度 、 消 防 和 除尘 上 做 好 充分 的 保障 ， 任 何 一 个 细小 的 环节 出 现 问 题 ， 都 会 引起 
严重 的 后 果 。 所 以 一 个 单位 要 降低 在 信息 化 方面 的 资金 投入 ， 减 少 应 用 系统 的 服 
务 器 数量 ， 就 成 了 重 中 之 重 。 


所 以 ， 虚 拟 化 这 是 就 应 运 而 生 ， 服 务 器 虚拟 化 就 是 把 多 台 物 理 服务 器 的 硬件 
资源 进行 重新 组 合 ， 然 后 进行 再 分 配 ， 它 能 把 多 台 服 务 器 虚拟 成 更 多 或 更 少数 量 
的 虚拟 服务 器 。 比 如 上 面 的 20 个 应 用 系统 ， 不 使 用 虚拟 化 技术 ， 需 要 45 台 物理 服 
务 器 ， 使 用 虚拟 化 技术 后 ， 一 般 用 20 台 物理 服务 器 就 能 满足 要 求 ， 可 以 把 20 台 物 
理 服 务 器 虚拟 成 45 台 虚拟 服务 器 ， 供 20 个 应 用 系统 使 用 ， 前 后 对 比 一 下 ， 使 用 虚 
拟 化 技术 ， 为 单位 节约 了 一 大 半 的 资金 投入 ， 所 以 说 虚拟 化 技术 带 来 的 实惠 是 实 
实在 在 的 ， 它 的 广泛 应 用 也 是 大 势 所 趋 。 


上 面 说 的 是 服务 器 虚拟 化 ， 这 里 再 说 说 桌面 虚拟 化 。 比 如 说 一 个 有 200 名 员 
工 的 小 企业 ， 你 需要 给 每 位 员工 配置 一 台电 脑 ， 价 格 每 台 6 千 元 ，200 台 就 是 120 
万 ， 若 使 用 桌面 虚拟 化 技术 ， 则 每 位 员工 的 电脑 ， 就 可 以 用 瘦 客 户 机 代替 ， 也 就 
相当 于 每 位 员工 电脑 的 主机 就 不 需要 了 ， 只 需 在 办 公 桌 上 放置 一 台 类 似 显示 器 的 
设备 ， 在 后 台 再 配置 四 台 高 性 能 的 桌面 虚拟 化 服务 器 ， 每 台 服 务 器 按照 5 万 元 来 
算 ，4 台 共 是 20 万 元 ，200 台 瘦 客 户 机 ， 每 台 2 千 元 ， 共 40 万 元 ， 使 用 桌面 虚拟 化 
技术 总 工 花 销 60 万 元 ， 也 就 是 使 用 桌面 虚拟 化 技术 ， 现 在 只 需要 花 60 万 元 ， 就 能 
实现 原来 要 花 120 万 元 才能 办 到 的 事 ， 实 惠 就 摆 在 眼前 ， 新 技术 何 乐 而 不 用 。 


而 使 用 桌面 虚拟 化 ， 给 系统 运 维 人 员 也 带 来 了 极 大 的 便利 。 因 为 员工 使 用 操 
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作 系 统 ， 如 Win 7、Win XP 等 ， 应 用 软件 如 Word、Excel 等 ， 都 是 在 桌面 虚拟 化 服 
务 器 后 台 生 成 的 ， 通 过 网 络 推送 到 员工 的 瘦 客 户 机 上 ， 不 需要 再 像 以 前 ， 需 要 在 
每 位 员工 的 电脑 上 安装 操作 系统 和 办 公 软 件 等 ， 而 且 系 统 运 维 人 员 在 用 户 出 现 故 
障 后 ， 主 要 的 运 维 对 象 是 集中 在 桌面 虚拟 化 的 服务 器 上 ， 不 需要 跑 来 跑 去 ， 在 员 
工 的 电脑 上 进行 维护 和 操作 。 这 就 大 大 降低 了 运 维 人 员 的 人 工 成 本 。 


IPv6 曾 经 在 ICANN(The Intermet Corporation for Assigned Names and Numbers， 
互联 网 名 称 与 数字 地 址 分 配 机 构 ) 把 IPv4 地 址 快 分 配 完 的 时 候 ， 也 很 火 了 一 段 时 
间 。 就 好 比 是 我 们 现在 使 用 的 身份 证 号 码 ， 因 为 人 口 数 量 的 急剧 增长 ， 现 在 的 身 
份 证 号 的 位 数 已 不 能 满足 这 么 多 人 使 用 ， 必 须 扩 充 身份 证 号 码 的 位 数 ， 才 能 满足 
需要 一 样 。IPv6 的 产生 也 是 同样 道理 ， 而 且 IPv6 的 地 址 数量 确实 是 够 多 的 ， 号 称 
是 把 地 球 上 的 每 粒 沙 子 都 能 分 配 一 个 IPv6 地 址 。 


不 过 现实 中 ， 用 户 对 使 用 IPv6 的 地 址 并 没有 那么 迫切 ， 应 该 是 IPv4 中 的 私有 
地 址 和 NAI 技 术 的 作用 ， 一 个 单位 并 不 需要 给 每 位 员工 的 电脑 分 配 一 个 全 球 唯一 
的 IPv4 的 地 址 ， 使 用 多 个 IPv4 私 有 地 址 和 NAI 技 术 ， 也 完全 可 以 满足 每 位 员工 正 
常 访 问 互联 网 ， 这 样 就 大 大 延迟 了 IPv6 技 术 在 全 球 的 推广 使 用 。 


5.1 运 维 实例 : 虚拟 化 终端 防护 探讨 


虚拟 化 技术 目前 在 企业 中 应 用 越 来 越 广泛 ， 但 随 之 而 来 的 安全 问题 也 越 来 越 
引起 人 们 的 重视 。 文 章 结合 虚拟 化 技术 的 实际 情况 ， 分 析 了 虚拟 化 应 用 的 安全 漏 
洞 ， 并 针对 问题 提出 了 多 个 安全 防护 措施 。 解 决 了 当前 流行 的 虚拟 化 应 用 在 安全 
方面 的 薄弱 环节 。 


虚拟 化 应 用 不 但 满足 了 传统 用 户 的 各 种 需求 ， 更 是 方便 了 手机 、 手 持 设备 用 
户 的 使 用 ， 随 时 随地 地 通过 网 络 连 接 到 单位 的 虚拟 化 应 用 上 。 但 是 ， 虚 拟 化 应 用 
在 给 用 户 带 来 方便 的 同时 ， 安 全 问题 也 接 是 而 至 。 安 全 和 易 用 从 来 都 是 一 对 矛盾 
体 ， 不 能 兼 得 。 


终端 安全 防护 的 方法 有 很 多 ， 但 和 虚拟 化 这 一 新 技术 相关 的 安全 防护 知识 很 
少 ， 下 面 将 从 三 个 方面 对 虚拟 化 安全 防护 进行 探讨 研究 。 
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s.2 ”虚拟 化 网 络 部 署 架构 


5.2.1 设备 间 连 接 和 配置 情况 


单位 虚拟 化 网 络 部 署 结构 图 ， 如 图 5-1 所 示 。 为 了 确保 重要 设备 的 稳定 性 和 
宛 余 性 ， 核 心 层 交换 机 使 用 两 台 Cisco6509， 通 过 Trunk 线 连接 。 在 核心 交换 机 上 
连接 有 单位 重要 的 业务 应 用 服务 器 ， 如 安全 中 心 、DHCP、E-MAIL 和 WEB 服 务 
器 等 。 单 位 卫 地 址 的 部 署 ， 使 用 的 是 B 类 私有 172 网 段 地址。 


计时 
@ 
虚拟 化 服务 器 


Internet 


业务 应 用 服务 器 
图 5-1 虚拟 化 网 络 部 署 架 构图 


1. 核心 设备 间 连 接 情 况 

在 图 5-1 中 为 了 图 示 的 清晰 明了 没有 标 出 设备 间 连 接 的 端口 号 ， 同 时 在 两 
台 防 火 墙 之 间 还 有 一 条 心跳 线 ， 主 要 作用 是 检测 两 台 防 火 墙 的 运行 状态 。 两 台 
Cisco6509 和 两 台 防 火 墙 之 间 的 连接 情况 ， 如 下 所 示 : 
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Cisco6509-A GigabitEthernet 1/1 <---> Cisco 6509-B 
GigabitEthernet 1/1 


Cisco6509-A GigabitEthernet 3/1 <---> FW-A GigabitEthernet 1 


Cisco6509-B GigabitEthernet 3/1 <---> FW-B GigabitEthernet 1 


Cisco4506 和 防火 墙 之 间 以 及 Cisco3750 和 防火 墙 之 间 的 连接 情况 如 下 所 示 : 


Cisco4506-A GigabitEthernet 3/1 <---> FW-A GigabitEthernet 3 
Cisco4506-B GigabitEthernet 3/1 <---> FW-B GigabitEthernet 3 
Cisco3750-A GigabitEthernet 1/0/1 <---> FW-A GigabitEthernet 2 


Cisco3750-B GigabitEthernet 1/0/1 <---> FW-B GigabitEthernet 2 


2. 核心 交换 机 配置 情况 


图 5-1 中 的 交换 机 Cisco6509、Cisco4506 和 3750 都 是 双 机 热 备 部 署 ， 运 行 的 
热 备 协议 都 是 HSRP(Hot Standby Router Protocol， 热 备份 路 由 器 协议 )， 以 下 是 在 
Cisco6509A 上 的 相关 配置 情况 。 其 他 几 台 设备 上 的 HSRP 配 置 和 在 6509A 上 的 配 
置 基本 都 一 样 。 


Cisco6509A 上 的 配置 如 下 所 示 : 


Cisco6509A#VLAN database 

Cisco6509A (VLAN) #VLAN 2 

Cisco6509A (VLAN) #apply 

Cisco6509A (config)#interface gigabitEthernet 3/1 
Cisco6509A (config-if)# switchport 


Cisco6509A (config-if)#switchport access VLAN 2 
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Cisco6509A (config)#int VLAN 2 


CigeoS Ootecontrg Lita addrens. T1262 人 要 
25502550255e0 


// 创 建 VLAN 2 的 SVI 接 口 ， 并 指定 TP 地址 

Cisco6509A (config-if)#no shutdown 

Cisco6509A (config-if)standby 2 priority 250 preempt 
Cisco6509A (config-if)standby 2 ip 172.16.2.254 


// 配 置 VLAN 2 的 HSRP 参 数 


命令 “standby 2 priority 250 preempt” 中 的 “priority” 是 配置 HSRP 的 优 
先 级 ，2 为 组 序号 ， 它 的 取 值 范围 为 0~255，250 为 优先 级 的 值 ， 取 值 范围 为 
0 一 255， 数 值 越 大 优先 级 越 高 。 


优先 级 将 决定 一 台 路 由 器 在 HSRP 备 份 组 中 的 状态 ， 优 先 级 最 高 的 路 由 器 将 
成 为 活动 路 由 器 ， 其 他 优先 级 低 的 路 由 器 将 成 为 备用 路 由 器 。 当 活动 路 由 器 失效 
后 ， 备 用 路 由 器 将 替代 它 成 为 活动 路 由 器 。 当 活动 和 备用 路 由 器 都 失效 后 ， 其 他 
路 由 器 将 参与 活动 和 备用 路 由 器 的 选举 工作 。 优 先 级 都 相同 时 ， 接 口 卫 地 址 高 的 
将 成 为 活动 路 由 器 。 


5.2.2 ”虚拟 化 应 用 运行 过 程 


从 图 5-1 中 可 以 看 出 ， 虚 拟 化 应 用 位 于 网 络 的 DMZ 区 。Cisco6509、 
Cisco4506、Cisco3750 和 防火 墙 设备 运行 的 都 是 路 由 模式 。Internet 上 的 用 户 要 访 
问 单位 的 虚拟 化 应 用 ， 数 据 包 首先 通过 4506 交 换 机 ， 再 到 防火 墙 上 。 在 防火 墙 
上 配置 有 相应 的 安全 策略 ， 会 根据 数据 包 的 源 和 目的 耳 地 址 以 及 端口 号 来 判断 是 
否 对 数据 包 进 行路 由 ， 人 允许 通过 的 数据 包 将 会 传输 到 DMZ 区 的 Cisco3750 交 换 机 
上 ， 最 终 访问 到 虚拟 化 服务 器 上 的 业务 应 用 。 
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互联 网 上 的 有 些 用 户 ， 可 能 还 需要 通过 虚拟 化 应 用 访问 到 单位 内 部 网 络 
上 的 一 些 业务 应 用 ， 这 样 图 5-1 中 的 虚拟 化 服务 器 就 会 作为 代理 服务 器 ， 通 过 
Cisco3750、 防 火 墙 和 Cisco6509， 最 终 访问 到 企业 内 部 的 业务 应 用 服务 器 上 的 资 
源 。 从 业务 应 用 服务 器 上 返回 的 数据 包 也 是 先 到 达 DMZ 区 的 虚拟 化 应 用 服务 器 
上 ， 然 后 服务 器 再 把 数据 包 返 回 给 Internet 上 的 用 户 。 


5.3 ”虚拟 化 客户 端 安 全 问题 


5.3.1 安全 防护 五 要 素 


安全 是 应 用 的 基础 。 每 一 个 应 用 都 应 该 从 五 个 方面 进行 安全 加 固 ， 如 图 5-2 
所 示 。 一 是 用 户 身份 安全 。 它 能 够 提供 用 户 名 密码 、USB-KEY、 硬 件 特征 码 、 
数字 证 书 、 短 信 认 证 中 的 一 种 或 多 种 身份 认证 方式 ， 并 可 进行 多 种 认证 方式 之 间 
的 “与 ”、“ 或 ”组 合 认证 ， 保 障 用 户 身份 接 入 的 可 靠 性 。 二 是 终端 安全 。 应 当 
加 强 终端 设备 的 病毒 、 木 马 防护 ， 及 时 升级 系统 的 漏洞 补丁 ， 检 测 、 拦 截 和 移 除 
病毒 、 间 谍 软 件 。 三 是 传输 安全 。 要 使 用 标准 的 加 密 算 法 保障 数据 的 安全 传输 。 
四 是 应 用 权限 安全 。 能 够 针对 每 个 部 门 、 每 个 用 户 进行 应 用 、URL 级 别 的 授权 ， 
并 可 针对 用 户 终 端 安全 环境 、 登 录 时 间 的 不 同 ， 进 行 差别 授权 和 灵活 控制 。 可 以 
采用 主 从 账号 绑 定 技术 ， 对 用 户 登录 的 账号 进行 强制 指定 ， 防 止 采用 他 人 账号 
的 越权 访问 行为 。 五 是 审计 安全 。 日 志 中 心 能 提供 详细 的 报告 ， 作 为 网 络 规划 
的 依据 ， 并 且 具 备 管理 员 权 限 的 分 级 功能 ， 提 高 管理 安全 性 。 


/ \ ， 、 5 、 / 人 、 
N\ \ NA ‘ / 

1 0 |] \ 1 \ 1 人 1 3 多 

| 1 请 二 二 NTERNET 二 二 -SSB 1 

\ 1 \ 本 -一 7 1 1 
/ \ N\ / 了 
i 7 \ 、\ 2 


、 7 四 ~ -> 、 7 、 2 


户 碳 份 安全 。 终端 安全 传输 安全 应 用 权限 安全 。 审计 安全 
图 5-2 安全 防护 五 要 素 
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5.3.2 ”虚拟 化 应 用 安全 隐患 


企业 远程 虚拟 化 应 用 最 普遍 的 使 用 方法 是 ， 用 户 用 各 种 终端 通过 互联 网 接 入 
到 单位 的 内 部 网 络 ， 最 后 通过 单位 的 内 部 网 络 连接 到 企业 的 虚拟 化 应 用 上 ， 如 图 
5-3 所 示 。 


核心 交换 机 


ee 
有 量 . “ 


智能 手机 台式 电脑 
图 5-3 ”远程 虚拟 化 应 用 原理 图 


平板 电脑 


从 图 5-3 中 可 以 看 出 ， 接 入 到 虚拟 化 应 用 的 终端 有 很 多 种 ， 只 要 能 接 入 到 
Internet 就 可 以 访问 到 企业 的 虚拟 化 应 用 。 各 种 终端 的 安全 防护 ， 可 以 通过 杀毒 
软件 和 系统 的 漏洞 、 补 丁 升级 进行 维护 。 当 前 ， 正 流行 的 Apple 和 Android 系 统 也 会 
定期 发 布 一 些 安全 补丁 ， 都 是 为 了 加 固 苹果 手机 、iPad 和 安 卓 版 手机 的 终端 安全 。 

但 是 ， 访 问 虚 拟 化 应 用 的 “用 户 身 份 安全 ”不 是 很 好 验证 。 因 为 要 保证 用 户 
通过 不 同 终端 访问 到 虚拟 化 应 用 ， 使 用 台式 机 上 的 身份 认证 方式 ， 不 一 定 能 在 智 
能 手机 或 平板 电脑 上 使 用 。 例 如 ， 目 前 广泛 使 用 的 USB-Key 认 证 都 具备 硬件 PIN 
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码 保护 ，PIN 码 和 硬件 构成 了 用 户 使 用 USB-Key 的 两 个 必要 因素 ， 即 所 谓 “ 双 因 
子 认 证 ”。 用 户 必须 同时 取得 USB-Key 和 用 户 PIN 码 ， 才 可 以 登录 虚拟 化 应 用 系 
统 。 即 使 用 户 的 PIN 码 被 泄漏 ， 只 要 用 户 持 有 的 USB-Key 不 被 盗 取 ， 合 法 用 户 的 
身份 就 不 会 被 仿冒 ;如果 用 户 的 USB-Key 丢 失 ， 若 拾 获 者 不 知道 用 户 的 PIN 码 ， 
它 也 无 法 仿冒 访问 虚拟 化 应 用 系统 用 户 的 合法 身份 。 因 为 目前 广泛 使 用 的 台式 机 和 
笔记 本 上 ， 都 有 USB 接 口 ， 所 以 USB-Key 的 认证 方式 才 会 得 到 普遍 应 用 。 


现在 ， 具 备 USB-Key 认 证 的 用 户 就 不 能 用 这 种 认证 方式 通过 智能 手机 或 
PDA(Personal Digital Assistant， 掌 上 电脑 ) 访 问 企 业 的 虚拟 化 应 用 ， 因 为 这 些 设备 
上 没有 USB 接 口 。 所 以 企业 为 了 方便 用 户 访问 虚拟 化 应 用 ， 就 开通 了 “用 户 名 密 
码 + 认证 码 ” 的 认证 访问 方式 ， 这 样 用 户 无 论 使 用 什么 样 的 终端 都 可 以 访问 到 虚 
拟 化 应 用 。 


但 是 ， 使 用 “用 户 名 密码 + 认证 码 ” 的 认证 方式 属于 静态 认证 ， 一 旦 用 户 名 
和 密码 泄露 会 造成 严重 的 后 果 。 况 且 认证 码 也 是 一 种 非常 简单 的 认证 方式 ， 它 的 
目的 是 保证 登录 网 站 的 是 人 而 不 是 程序 ， 以 防止 某 些 人 利用 程序 自动 登录 网 站 下 
载 资 料 ， 过 多 占用 网 络 带宽 和 服务 器 资源 。 当 用 户 登 录 企 业 虚 拟 化 应 用 时 ， 系 统 
会 以 图 像 的 形式 显示 一 个 认证 码 ， 并 要 求 用 户 输入 这 个 认证 码 ， 二 者 相符 时 ， 用 
户 才能 成 功 登录 虚拟 化 应 用 系统 ， 否 则 将 提示 出 错 信息 。 即 便 这 样 也 不 能 解决 此 
方式 带 来 的 安全 隐患 ， 因 为 非法 用 户 完全 可 以 通过 一 些 专用 的 破解 软件 ， 把 密码 破 
译 出 来 。 所 以 ， 在 企业 的 虚拟 化 应 用 上 最 好 不 要 使 用 “用 户 名 密码 ”的 认证 方式 。 


5.4 ”虚拟 化 客户 端 安 全 防护 措施 


5.4.1 手机 动态 密码 验证 


这 种 认证 方式 ， 在 国内 有 的 银行 已 经 广泛 应 用 ， 例 如 交通 银行 。 它 是 一 种 
动态 的 、 互 动 的 密码 认证 方式 ， 即 使 非法 用 户 盗用 了 银行 用 户 的 银行 卡 和 支付 密 
码 ， 若 他 没有 银行 用 户 的 手机 也 不 能 完成 网 上 支付 ， 因 为 动态 密码 只 发 送 到 银行 
用 户 本 人 的 手机 上 。 
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而 且 在 向 银行 用 户 发 送 动态 密码 时 会 包括 一 个 “密码 序号 ”， 如 图 5-4 所 示 
的 上 半 部 分 ， 是 用 户 进 入 到 银行 支付 页 面 的 提示 。 在 “动态 密码 ”输入 框 的 后 
边 就 有 一 个 提示 “密码 序号 : 56”; 同样 在 图 5-4 的 下 半 部 分 的 黄色 显示 区 域 ， 
是 银行 用 户 本 人 手机 上 收 到 的 动态 密码 提示 信息 ， 在 其 中 也 包含 有 “密码 序列 : 
56”， 这 两 个 序号 的 数值 必须 一 致 才 是 真实 有 效 的 密码 ， 这 就 进一步 提高 了 手机 
动态 密码 的 安全 性 。 


交行 太平 洋 卡 支付 
全 miT 间 信息 
| 订单 号: 订单 时 间 : 
| 商户 名 称 : 订单 金富 : 


| 订单 内 容 : 


恨 行 卡号 / 文 付 卡 号 。 
卡 有 效 期: 
卡 校 验 码 : 


支付 密码 : 执 为 和 全 袜 和 控件 
动态 密码 | (E 骨 序号 56) 
3 可 二 太 
上 [| 


EA 


图 5-4 手机 动态 密码 应 用 实例 


5.4.2 ”扩展 USB-Key 认 证 使 用 范围 


从 表 5-1 中 可 以 看 出 ， 安 全 性 最 高 的 是 USB-Key 和 动态 口令 认证 方式 ， 根 据 
现实 情况 适用 于 企业 做 身份 认证 的 只 有 动态 口令 和 USB-Key 认 证 。 


表 5-1 三 种 常用 认证 技术 比较 


USB-Key 


动态 口令 
用 户 名 密码 


1. USB-Key 认 证 特点 


(1) 带 有 安全 存储 空间 。USB-Key 具有 8 K~128 K 的 安全 数据 存储 空间 ， 可 
以 存储 数字 证 书 、 用 户 密 钥 等 秘密 数据 ， 对 该 存储 空间 的 读 写 操作 必须 通过 程序 
实现 ， 用 户 无 法 直接 读 取 ， 其 中 用 户 私 钥 是 不 可 导出 的 ， 杜 绝 了 复制 用 户 数字 证 
书 或 身份 信息 的 可 能 性 。 
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(2) 硬 件 实现 加 密 算法 。USB-Key 内 置 微型 智能 卡 处 理 器 ， 加 解密 运算 在 
USB-Key 内 完成 ， 保 证 了 用 户 密 钥 不 会 出 现在 计算 机 内 存 中 ， 从 而 杜绝 了 用 户 
密 钥 被 黑客 截取 的 可 能 性 。 一 般 支 持 RSA、DES、SSF33 和 3DES 算法 。 采 用 
1024 位 非 对 称 密 钥 算法 对 网 上 数据 进行 加 密 、 解 密 和 数字 签名 ， 确 保 网 上 交易 的 
保密 性 、 真 实 性 、 完 整 性 和 不 可 否认 性 。 


(3) 使 用 方便 ， 安 全 可 靠 。USB 接 口 已 经 广泛 应 用 ， 而 且 如 拇指 般 大 的 USB- 
Key 非 常 方便 随身 携带 ， 并 且 密 钥 和 证 书 不 可 导出 ，KEY 的 硬件 不 可 复制 ， 保 证 
了 使 用 的 安全 可 靠 。 


2. 扩展 USB-Key 认 证 使 用 范围 

相 比较 而 言 ，USB-Key 认 证 方式 性 价 比 高 ， 而 且 USB 接 口 又 有 通用 性 ， 因 此 
USB-Key 认 证 技术 最 适合 应 用 推广 。 由 于 USB-Key 具有 安全 可 靠 、 便 于 携带 、 
使 用 方便 、 成 本 低廉 的 优点 ， 加 上 PKI 体 系 完善 的 数据 保护 机 制 ， 使 用 USB-Key 
存储 数字 证 书 的 认证 方式 已 经 成 为 目前 主要 的 认证 模式 。 


企业 用 户 通过 互联 网 使 用 智能 手机 、PDA 等 没有 USB 接 口 的 设备 ， 远 程 登录 
虚拟 化 应 用 时 ， 可 以 使 用 USB 接 口 的 转 接线 ， 把 设备 上 的 接口 转换 成 USB 接 口 ， 
就 可 以 继续 使 用 USB-Key 的 认证 方式 。 


5.4.3 ”远程 安全 桌面 


访问 虚拟 化 应 用 的 用 户 ， 无 论 是 用 USB-Key 认 证 方式 ， 还 是 用 “用 户 名 密 
码 ” 方 式 登录 虚拟 化 应 用 系统 时 ， 经 常会 把 企业 内 网 中 的 资源 下 载 到 本 地 电脑 
中 ， 其 中 可 能 会 包含 有 涉及 到 单位 商业 安全 的 信息 ， 这 些 信息 又 极 易 被 黑客 和 不 
法 分 子 获取 ， 散 播 到 互联 网 上 ， 对 企业 带 来 极 坏 的 影响 。 而 安全 桌面 技术 的 应 用 
可 以 很 好 地 解决 这 一 问题 ， 如 图 5-5 所 示 。 


安全 桌面 技术 可 以 防止 重要 数据 留存 在 用 户 终端 而 泄露 的 风险 。 所 有 和 虚拟 
化 应 用 服务 器 发 生 的 访问 行为 和 传输 的 应 用 数据 都 将 置 于 该 安全 桌面 中 ， 此 安全 
桌面 中 的 所 有 数据 均 无 法 存储 到 本 机 、 无 法 拷贝 到 U 盘 等 外 设 设备 、 无 法 通过 局 
域 网 /互联 网 外 发 ， 任 何方 式 都 无 法 将 数据 从 安全 桌面 内 泄漏 出 去 。 当 用 户 关闭 
安全 桌面 后 ， 其 中 的 所 有 数据 将 一 并 销毁 ， 从 而 彻底 保障 重要 数据 被 终端 访问 时 
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的 高 安全 性 
条 
多 ~ 
< 


面 


图 5-5 ”安全 桌面 应 用 原理 图 


5.4.4 ”DMZ 区 部 署 七 层 防 火 墙 


从 图 5-1 中 可 以 看 出 ， 互 联网 上 的 用 户 访问 单位 内 部 的 虚拟 化 应 用 的 所 有 数 
据 ， 都 必须 通过 两 台 防 火 墙 设备 FW-A 和 FW-B， 所 以 防火 墙 设备 性 能 的 优 劣 ， 将 
会 对 虚拟 化 应 用 的 安全 性 起 到 决定 性 作用 。 

1. 传统 防火 墙 的 劣势 


目前 广泛 使 用 的 传统 型 防火 墙 主要 是 基于 一 种 重要 的 理论 假设 来 进行 安全 
防护 的 。 这 种 理论 认为 如 果 防 火 墙 拒绝 某 类 数据 包 的 通过 ， 则 认为 它 一 定 是 安全 
的 ， 因 为 这 些 包 已 经 被 丢弃 。 但 防火 墙 并 不 保证 准许 通过 的 数据 包 是 安全 的 ， 它 
无 法 判断 一 个 正常 的 服务 的 数据 包 和 一 个 恶意 的 数据 包 有 什么 不 同 。 传 统 防火 墙 
也 无 法 提供 基于 应 用 和 用 户 的 ， 从 第 三 层 到 第 七 层 的 一 体 化 访问 策略 控制 ， 黑 客 
常常 通过 穿 透 合 法 的 80 端 口 ， 就 可 以 轻松 地 让 防火 墙 的 安全 控制 策略 变 成 “谷子 
和 了 睹 子 ”。 此 外 ， 它 也 无 法 提供 基于 应 用 的 流量 分 析 和 报表 展示 ， 无 法 帮助 用 户 
了 解 当 前 网 络 边界 的 现状 。 而 且 ， 当 前 的 安全 威胁 已 不 再 是 单一 的 类 型 。 通 常 一 
个 完整 的 入 侵 行为 包含 了 多 种 技术 手段 ， 如 漏洞 利用 、WEB 入 侵 、 木 马 后 门 、 
恶意 网 站 等 ， 如 果 将 这 些 安全 威胁 割裂 的 进行 处 理 和 分 析 ， 系 统 的 防范 短 板 依 
然 存 在 。 


2. 七 层 防 火 墙 的 优势 


七 层 防火 墙 加 强 了 允许 通过 防火 墙 的 数据 包 的 安全 性 ， 因 为 网 络 安全 的 真实 
需求 是 ， 既 要 保证 网 络 安全 ， 也 必须 保证 应 用 的 正常 运行 。 它 主要 是 基于 应 用 层 
开发 的 新 一 代 防 火 墙 ， 与 传统 防火 墙 相 比 它 可 以 针对 丰富 的 应 用 提供 完整 的 、 可 
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视 化 的 内 容 安 全 保护 方案 。 解 决 了 传统 安全 设备 在 应 用 可 视 化 、 应 用 管控 、 应 用 
防护 处 理 方面 的 巨大 不 足 ， 并 且 满足 了 同时 开启 所 有 功能 后 性 能 不 会 大 幅 下 降 的 
要 求 。 它 既 满 足 了 普遍 互联 网 边界 行为 管控 的 要 求 ， 同 时 还 满足 了 在 内 网 数据 中 
心 和 广域网 边界 的 部 署 要求 ， 可 以 识别 和 控制 丰富 的 内 网 应 用 。 


在 图 5-1 所 示 的 网 络 中 部 署 七 层 防 火 墙 后 ， 可 以 识别 出 Intemet 上 访问 虚拟 化 
的 各 种 应 用 及 其 应 用 动作 ， 识 别 出 用 户 卫 地址 对 应 的 多 种 信息 ， 并 建立 组 织 的 用 
户 分 组 结构 ， 这 将 会 大 大 提高 互联 网 用 户 访问 企业 虚拟 化 应 用 的 安全 性 。 


5.5 总 结 


通过 互联 网 实现 的 各 种 应 用 ， 在 安全 上 都 是 相对 的 。 尤 其 是 虚拟 化 技术 的 广 
泛 应 用 ， 虽 然 它 降低 了 系统 操作 代价 ， 改 进 了 硬件 资源 利用 率 ， 以 及 在 灵活 性 方 
面 扮演 着 越 来 越 重 要 的 角色 。 但 是 ， 虚 拟 化 技术 本 身 不 仅 面临 着 传统 网 络 已 有 的 
安全 威胁 ， 还 面临 着 自身 引入 的 安全 问题 。 这 就 需要 企业 在 部 署 虚拟 化 应 用 时 ， 
采取 灵活 、 多 样 的 安全 防护 措施 。 


5.6 ” 运 维 实例 : 搭建 IPv6 网 络 环 境 


从 事 计 算 机 网 络 工作 ， 是 万 万 不 能 少 了 各 种 各 样 的 实践 操作 。 但 现实 中 真实 
网 络 环境 的 稀缺 ， 限 制 了 很 多 想 深 入 学 习 网 络 知识 的 同志 。 更 别 说 在 现实 的 IPv6 
网 络 环境 中 学 习 IPv6 知 识 了 。 本 文 就 是 通过 使 用 DynamipsGUI 和 VMware 两 个 软 
件 ， 为 那些 想 深 入 学 习 IPv6 知 识 的 同志 ， 搭 建 起 几乎 和 现实 IPv6 网 络 一 样 的 实验 
环境 。 可 以 随意 大 胆 地 在 搭建 起 来 的 网 络 环境 中 进行 各 种 各 样 的 测试 和 操作 ， 能 
够 很 好 地 提高 学 习 IPv6 知 识 的 效率 。 而 且 本 文中 使 用 的 软件 在 网 上 都 可 以 找到 ， 
在 电脑 上 安装 完 软件 后 ， 完 全 可 以 对 照 下 面 的 步骤 一 步 一 步 把 IPv6 的 网 络 环境 搭 
建成 功 。 
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1. 网 络 结构 拓扑 图 和 所 使 用 的 软件 


() 网 络 拓扑 介绍 。 如 图 $-6 所 示 ， 是 搭建 的 纯 IPv6 网 络 环境 。 最 终 要 实现 的 
功能 是 从 电脑 PC 上 ， 通 过 路 由 器 ， 能 ping 通 服务 器 Server。 反 之 ， 也 要 实现 从 Server 
上 ping 通 电脑 PC。 关 于 图 5-6 中 具体 的 参数 配置 ， 会 在 下 面 进行 详细 的 介绍 。 


a 

2001 : : 2/64 3 
(本 地 连接 ) ”局 

2000 : : 1/64 一 一 


PC (VMnetl) Server (VMware) 
2001 : : 1/64 2000 : : 2/64 


图 5-6 网络 结构 拓扑 图 


(2) 使 用 软件 介绍 。 图 5-6 网 络 环境 的 搭建 都 是 在 一 台 装 有 Win 7 操作 系统 电脑 
上 完成 的 。 也 就 是 说 在 单 台 电脑 上 ， 通 过 使 用 软件 搭建 起 了 和 现实 IPv6 环 境 一 样 
的 网 络 。 在 Win 7 操作 系统 中 主要 安装 了 两 个 软件 ， 一 个 是 DynamipsGUI， 版 本 
为 2.8; 另 一 个 软件 为 VMware， 版 本 为 7.1.3 build-324285， 而 且 在 VMware 的 虚拟 
机 中 安装 的 还 是 Win 7 的 操作 系统 。 因 为 Win 7 对 IPv6 的 支持 比较 好 ， 所 以 就 没有 
选择 在 VMware 中 安装 Windows XP 系 统 。 


(3) 有 关上 面 两 个 软件 的 安装 和 使 用 ， 在 网 上 有 很 多 相关 的 文章 ， 在 此 就 


不 再 一 一 介绍 。 只 是 在 虚拟 机 VMware 中 安装 Win 7 系统 时 可 能 要 注意 的 事项 多 
一 些 。 


2. DynamipsGUI 中 的 配置 步骤 


(D 在 VMware 中 安装 完 Win 7 操作 系统 后 ， 就 会 在 本 地 电脑 (图 5-6 中 的 PC) 的 
“控制 面板 ”一 “网 络 和 Intemet” 一 “网 络 连 接 ” 中 出 现 两 个 VMware Network 
Adapter 连 接 ，“VMnetl1” 和 “VMnet8”。 因 为 本 实例 中 只 会 用 到 “VMnet1” 
和 “本 地 连接 ”， 所 以 就 在 网 络 连接 “VMnet8” 上 单 击 右键 ， 选 择 “ 禁 用 ”后 
就 变 成 了 如 图 5-7 所 示 的 灰色 的 不 可 用 状态 。 
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VMware VMware 本 地 连接 
Network Network 
Adapter Adapter 
VMnetl VMnet8 


图 5-7 本 地 电脑 PC 中 的 网 络 连接 
(2) 打 开 DynamipsGUI 2.8， 对 照 图 5-8 所 示 ， 选 择 好 各 个 参数 : 
在 “路 由 器 个 数 ” 中 选择 1; 
在 “设备 类 型 ”中 选择 2600; 在 “2600” 一 栏 中 的 各 个 参数 对 照 图 5-8 选 择 。 


| [设备 参数 设置 | 
路 由 器 个 「 之 ] 交换 机 个 过] 厂 模拟 帧 中 继 厂 模拟 ArM [桥接 到 PC 三 虚拟 PC 厂 分 布 式 | 
| 防火墙 数 量 |0 二] 设备 类 型 ”三 7200 厂 3745 厂 3725 厂 3660 厂 3640 厂 3620 三 26917 2600 | 
| -2600- 一 一 - 三 分 布 式 配置 — | | 
设备 类型 9。 二 jm] PT ||| 
I0s 文 件 [CiscoSoftware\Ck 浏览 | 上 设备 = 
idle-pc 值 [ox80394bfe 计算 dle| 
NPE 类 [2621 
虚拟 RAM [128 
寄存 器 [02109 
_ 双 证 | = 
-PC 桥接 参数 配置 一 -一 
| | [co 了] DenceNPF 09365666F 计算 桥接 参数 | 确定 桥接 参数 | 译 训 TAF 同 卡 | 避 际 TaF 同 二 | 


| 读 取 拓扑 配置 文件 铀 由 目录 [Co 一 浏览 下 一 步 
图 5-8 ”DynamipsGUI 设 备 选 型 界面 


在 “IOS 文 件 ” 中 使 用 的 是 c2600-ik903s3-mz.123-13a.BIN， 当 然 也 可 以 使 
用 其 他 的 IOS， 只 要 能 保证 它 支 持 IPv6 的 各 个 功能 即 可 。 此 处 还 有 一 个 “idle-pc 
值 ”， 只 要 选择 好 IOS， 单 击 “计算 idle” 就 可 以 计算 出 它 的 值 ， 具 体 的 方法 网 
上 都 有 ， 不 再 一 一 陈述 。 

在 “PC 桥接 参数 配置 ”中 ， 要 计算 “VMnet1” 和 “本 地 连接 ”二 者 的 桥接 
参数 。 单 击 “ 计 算 桥接 参数 ”按钮 ， 就 可 得 出 两 个 网 络 连接 的 桥接 参数 : 
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NIC_0( 对 应 图 5-7 中 的 “本 地 连接 ”) 的 桥接 参数 为 “\Device\NPF_ 
{093B5BB6-F57D-4210-8BAF-6F98D3237BA5}”。 
NIC 1( 对 应 图 5-7 中 的 “VMware Network Adapter VMnet1”) 的 桥接 参数 为 
“\Device\NPF {A0002202-4768-4522-91CF-455D8AFB68A3}”。 选 择 好 两 个 桥 
接 参 数 后 单 击 “ 确 定 桥接 参数 ”。 


(3) 在 图 5-8 中 设置 好 各 个 参数 后 ， 单 击 “ 下 一 步 ” 进 入 到 图 5-9 所 示 的 界面 。 
这 里 主要 是 选择 路 由 器 2621 使 用 的 模块 类 型 ， 对 照 图 $-9 所 示 选 择 好 后 点 击 “ 确 
定 Router] 配 置 ”， 再 单 击 “ 下 一 步 ”。 


本] pynamipsGUI- 模 块 设置 可 [一 
| 模块 设置 

设备 名 称 |Routert 
设备 类 型 ”|2621 了 |] 
ConsoleD Po 
[- 襄 ERovten 本 |] 


Slot0: jclsco2600MB- 了 | 


Slot1: INM-1FE-TX xz] 


图 5-9 ”DynamipsGUI 模 块 设置 界面 


(4) 进 入 到 “Dynamips- 连 接 设置 ”界面 ， 如 图 5-10 所 示 。 在 此 要 建立 了 两 个 
连接 ，“Routerl F0/0 <----> XPC P0/1” 和 “Routerl F1/0 <----> XPC P0/0”。 这 


两 个 路 由 器 端口 ，XPC P0/0 接 口 就 是 图 5-6 中 的 “本 地 连接 ”的 接口 ， 也 就 是 图 
5-7 中 的 “本 地 连接 ”; XPC P0/1 接 口 就 是 图 5-6 中 的 “PC(VMnet1)” 的 接口 ， 也 
就 是 图 5-7 中 的 “VMware Network Adapter VMnetl1” 网 络 连接 。 


设备 列表 接口 列表 已 连接 设备 列表 设备 列表 接口 列表 
Fo1 Rt 1 F00 < 一 > XPC PO/1 R 1 
XPC | Roe F10 S XPCPO00 | 


图 5-10 ”DynamipsGUI 连 接 设 置 界面 


在 图 5-10 中 建立 好 连接 后 ， 再 单 击 “ 生 成 .BAI 文 件 ”( 此 按钮 在 图 5-10 中 没 
有 截 出 ， 位 于 右 下 方 ) 按 钮 ， 即 可 在 设 定 好 的 目录 下 生成 可 执行 文件 “Router1l. 
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bat”。 在 文件 “Routerl.bat” 上 单 击 右键 选择 “编辑 ”， 就 会 显示 出 文件 的 内 
容 ， 如 下 所 示 : 


EM -=> = Created,. by Xiaofan====-—-=~= 
Qecho off 
tiEle Routerl = Created by Xiaofan 


mkdir Routerl 
cd Routerl 
:reload 


..N\dynamips-wxp.exe -T 2001 -P 2600 -r 128 -t 2621 -c 0x2102 
-p 0:CISCO2600-MB-2FE -p 1:NM-1lFE-TX -s 0:0:gen eth:" \Device\ 
NPE {A0002202-4768-4522-91CF-455D8AFB68A3}” -s 1:0:gen eth:” \ 
Device\NPF {093B5BB6-F57D-4210-8BAF-6F98D3237BAS5} ” ..\c2600- 
ik903s3-mz.123-13a.BIN --idle-pc=0x80394bfc 


goto reload 


综 上 所 述 ， 图 5-6 中 所 示 拓 扑 图 的 内 部 连接 情况 为 : 


Router F0/0<---->VMnet1<---->{A0002202-4768-4522-91CF- 
455D8AFB68A3} (图 5-8 中 计算 得 出 的 桥接 参数 ) <---->NIC_1 (图 5-8 中 所 示 
的 参数 ) <---->XPC P0/1 (图 5-10 中 所 示 的 设备 接口 ) ; 


Router FE1/0<----> 本 地 连接 <---->{093B5BB6-F57D-4210-8BAF- 
6F98D3237BA5}<---->NIC 0<---->XPC P0/0。 


3. 在 VMware 虚拟 机 中 的 配置 
打开 VMware 虚拟 机 后 ， 再 启动 其 中 的 Win 7 操作 系统 ， 启 动 完成 后 ， 选 
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择 “VM” 菜 单 中 的 “Settings” 选 项 ， 就 会 出 现 如 图 5-11 所 示 的 配置 界面 。 

在 “Hardware” 页 面 中 ， 选 择 “Network Adapter” 选 项 ， 然 后 在 页 面 右 边 的 
“Network connection” 中 选择 “Bridged” 选 项 。 最 后 单 击 “OK” 按 钮 。 然 后 ， 

在 VMware 虚 拟 机 中 再 重新 启动 Win 7 操作 系统 。 


Hardware [optons| 


Device Summary se 
二 Memory 1024 MB 团 connected 
篇 Processors 2 团 connect at power on 
SHard Disk (SCSD 40 GB 
国 co/pvp (PE) Auto detect Network connection 
日 
日 Fopmy Di 加 Bridged: Connected directly to the physical network 
use Controller Present Replicate physical network connection state 
ie NAT: Used to share the host's IP address 
Printer Present 
Host-only: A he 
量 opey pe lost-only: A private network shared with the host 
Custom: Specific virtual network 


VMneto (Auto-bridging) 加 


图 5-11 VMware 网 络 适 配器 设置 界面 


虚拟 机 中 的 Win 7 操作 系统 ， 就 相当 于 图 $-6 中 的 “Server” 服 务 器 。 在 虚拟 
机 中 安装 完 Win 7 系统 后 ， 在 其 中 的 “控制 面板 ”一 “网 络 和 Internet” 一 “网 络 
连接 ”中 会 自动 生成 一 个 虚拟 的 网 络 连接 。 

在 图 5-11 中 ， 选 择 “Bridged” 桥 接 模式 后 ， 就 相当 于 把 图 5-6 中 的 “本 地 连 
接 ” 网 卡 和 “Server(VMware)” 上 自动 生成 的 虚拟 网 卡 连接 到 了 同一 个 网 段 中 。 
这 样 图 5-6 中 的 “Server(VMware)” 也 就 和 路 由 器 Router 的 F1/0 位 于 同一 个 网 段 中 。 


4. 终端 和 路 由 器 上 网 络 参数 配置 


要 实现 图 $-6 中 PC 和 Server 之 见 的 互联 互通 ， 就 必须 在 路 由 器 、PC 和 Server 上 
进行 相应 的 网 络 配置 。 


(1) 终 端 网 络 参数 配置 。 其 中 Server 上 IPv6 地 址 的 配置 ， 如 图 5-12 所 示 ， 直 接 
在 虚拟 机 的 Win7 操 作 系 统 中 的 “Internet 协 议 版 本 6(TCP/IPv6) 属 性 ”配置 ， 地 址 
为 2000::2/64。 同 理 ， 图 $-7 中 “VMware Network Adapter VMnetl ”和 “本 地 连 
接 ” 两 个 连接 的 IPv6 参 数 配 置 ， 也 和 在 图 5-12 中 配置 的 类 似 。PC(VMnet1) 的 IPv6 
地 址 为 2001::1/64，“ 本 地 连接 ”的 IPv6 地 址 为 2000::1/64。 
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常规 


oe 同 以 自动 次 取 分 本 的 IPv6 设置 否则 ， 您 需要 向 网 络 管理 员 次 


加 自动 获取 IPv6 地 址 O) 
图 使 用 以 下 IPv6 地 址 GS): 
IPv6 地 址 I): 

子 了 前 绢 长 度 om : 
默认 网 关 四); 


自动 获得 DRS 服务 器 地 址 @B) 
图 使 用 下 面 的 DNS 服务 器 地 址 下): 
首选 DNS 服务 器 下 ); E 
备用 DNS 服务 器 : 


加 退出 时 验证 设置 .) 


图 $-12 ”在 VMware 的 Win 7 系统 中 配置 IPv6 地 址 


(2) 路 由 器 上 网 络 参数 配置 。 主 要 包括 三 个 方面 的 配置 : 一 是 启用 Router 的 
IPv6 路 由 ， 命 令 为 “Router(config) 扫 pv6 unicast-routing”; 二 是 在 接口 F0/0 上 配 
置 IPv6 地 址 ， 命 令 如 下 所 示 : 


interface FastEthernet0/0 
no ip address 

duplex auto 

speed auto 


ipv6 address 2001::2/64 


上 面 的 命令 也 表示 端口 FastEthernet0/0 位 于 IPv6 的 子 网 2001::/64 中 。 三 是 在 接 
口 F1/0 上 配置 IPv6 地 址 ， 命 令 如 下 所 示 : 


interface FastEthernet1/0 


no ip address 
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duplex auto 
speed auto 


ipv6 address 2000::3/64 


同样 ， 上 面 的 命令 也 表示 端口 FastEthermet1/0 位 于 IPv6 的 子 网 2000::/64 中 。 配 
置 完成 后 可 以 使 用 如 下 所 示 命 令 查 看 配置 结果 : 


Router#show ipv6 interface brief 
FastEthernet0/0 [up/up] 
FE80: :CAO00:17FF:FE94:0 

2001::2 

FastEthernet1/0 [up/up] 
FE80: :CAO00:17FF:FE94:10 


20005 3 


上 面 输出 中 的 “[up/up] ”表示 端口 的 物理 状态 和 协议 状态 都 是 打开 的 。 同 
时 ， 在 每 个 端口 上 都 会 自动 生成 一 个 “本 地 链 路 ”地 址 ， 如 FastEthernet 0/0 端 口 
上 的 “FE80::CA00:17FF:FE94:0” 地 址 。 


5. 网 络 环境 运行 和 测试 


(1) 在 PC(VMnet1) 端 测试 。 在 图 5-6 的 PC 本 机 的 Win 7 系统 中 打开 一 “命令 行 
CMD” 窗 口 。 在 其 中 执行 命令 “ping -S 2001::1 2000::2” 得 到 如 下 所 示 的 输出 结果 : 


C:\Users\Administrator>ping -S 2001::1 2000::2 
正在 Ping 2000::2 从 2001::1 具有 32 字 节 的 数据 : 
来 自 2000: :2 的 回复 : 时 间 =371ms 
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来 自 2000: :2 的 回复 : 时 间 =5ms 

来 自 2000: :2 的 回复 : 时 间 =215ms 

来 自 2000: :2 的 回复 : 时 间 =5ms 

2000::2 的 Ping 统计 信息 : 

数据 包 : 已 发 送 = 4, 已 接收 = 4， 丢失 = 0 (0% 丢失 ) ， 
往返 行程 的 估计 时 间 (以 毫秒 为 单位 ) : 


最 短 = 5ms， 最 长 = 371ms, 平均 = 149ms 


注意 : 上 面 的 ping 命 令 中 使 用 了 一 个 “-S” 的 参数 ， 后 面 紧 跟 的 “2001::1” 
的 地 址 ， 是 VMnetl 的 IPv6 地 址 ， 命 令 最 后 一 个 地 址 “2000::2” 才 是 要 ping 的 目标 
地 址 。Win 7 系统 对 ping 命 令 中 “-S” 参 数 的 解释 为 “要 使 用 的 源 地 址 ”， 也 就 
是 指定 ping 的 数据 包 从 网 卡 VMnet1 发 送出 去 ， 而 不 是 从 其 他 的 网 卡 把 数据 传输 
出 去 。 为 了 追踪 ping 数 据 包 的 路 径 ， 再 在 “命令 行 CMD” 中 执行 命令 “tracert -S 
2001::1 2000::2”， 得 到 如 下 所 示 的 输出 结果 : 


C:\Users\Administrator>tracert -S 2001::1 2000::2 
通过 最 多 30 个 跃 点 跟踪 
到 Server [2000::2] 的 路 由 : 


和 5 ms 2 ms 2 ms. 2001::2 
4 4 ms 4 ms 5 ms Server [2000::2] 
跟踪 完成 。 


从 上 面 的 输出 结果 可 以 看 出 ， 命 令 “ping -S 2001::1 2000::2” 的 数据 包 的 传 
输 路 径 确实 是 通过 路 由 器 Router， 再 到 达 Server 的 。 其 中 ，Win 7 系统 对 tracert 命 
令 中 “-S” 参 数 的 解释 为 “要 使 用 的 源 地 址 ( 仅 适用 于 IPv6)”。 若 是 在 ping 的 命 
令 中 不 使 用 “-S” 的 参数 ，ping 命 令 也 能 执行 成 功 ， 但 它 传输 的 路 径 就 不 通过 路 
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由 器 ， 而 是 从 “本 地 连接 ”的 网 卡 上 直接 把 数据 包 发 送出 去 ， 然 后 到 达 Server。 


为 了 验证 上 面 的 推断 ， 在 “命令 行 CMD” 中 执行 命令 “tracert 2000::2”， 
它 的 输出 和 执行 命令 “tracert -S 2001::1 2000::2” 的 输出 结果 是 不 一 致 的 ， 这 也 
就 进一步 说 明了 参数 “-S” 的 用 途 ， 如 下 所 示 : 


C:\Users\Administrator>tracert 2000::2 
通过 最 多 30 个 跃 点 跟踪 
到 server [2000::2] 的 路 由 : 
i <1 毫秒 <l 毫秒 <1 毫秒 Server [2000::2] 


跟踪 完成 。 


(2) 在 Server(VMware) 端 测试 。 同 样 也 可 以 在 服务 器 端 进行 测试 ， 在 虚拟 机 
VMware 中 的 Win 7 系统 的 “命令 行 CMD” 中 ， 执 行 如 下 命令 : 


C:\Users\Server>ping 2001::1 

正在 Ping 2001: :1 具有 32 字 节 的 数据 : 

来 自 2001: :1 的 回复 : 时 间 =255ms 

来 自 2001: :1 的 回复 : 时 间 =5ms 

来 自 2001: :1 的 回复 : 时 间 =5ms 

来 自 2001: :1 的 回复 : 时 间 =4ms 

2001::1 的 Ping 统计 信息 : 

数据 包 : 已 发 送 = 4， 已 接收 = 4， 丢失 = 0 (0% 丢失 ) ， 
往返 行程 的 估计 时 间 (以 毫秒 为 单位 ) : 


最 短 = 4ms， 最 长 = 255ms， 平 均 = 67ms 
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从 上 面 的 输出 结果 可 以 看 出 ， 从 服务 器 端 到 PC 端的 网 络 是 通 的 。 为 了 进 一 
步 验证 ping 数 据 包 的 传输 路 径 ， 再 在 “命令 行 CMD” 中 执行 如 下 命令 : 


C:;\Users\Server>tracert 2001: :1 


通过 最 多 30 个 跃 点 跟踪 到 2001: :1 的 路 由 


1 2 ms 2 ms lms 20008:3 
他 7 ms 94 ms 20 ms ‘2001:::1 
跟踪 完成 。 


从 上 面 的 输出 结果 可 以 看 出 ， 从 Server 端 发 出 的 ping 数 据 包 确实 是 通过 路 由 
器 Router， 最 后 再 到 达 PC 的 。 


(3) 在 Web 服 务 器 中 的 测试 。 为 了 进一步 验证 网 络 环境 的 可 用 性 ， 在 图 5-6 的 
PC(VMnetl) 端 的 Win 7 系统 中 安装 了 Xampp 软 件 包 ， 此 软件 中 包含 有 Tomcat 的 
Web 服 务 器 ， 在 XAMPP 的 控制 面板 中 可 以 直接 启用 Web 服 务 器 ， 如 图 5-13 所 示 ， 
是 在 控制 面板 中 启用 了 Tomcat 服 务 器 的 状态 。 其 中 Tomcat 使 用 的 端口 号 共有 3 
个 :8005、8009 和 8080。 启 用 WEB 服 务 器 后 在 PC(VMnet1) 端 的 Win 7 系统 中 的 浏 
览 器 地 址 栏 中 输入 地 址 “http://[2001::1]:8080” 就 可 以 进入 到 Tomcat 服 务 器 的 
欢迎 界面 。 


XAMPP Control Panel v3.0.11 {Compiled: December 7th 2011] [=|®| ¥ | 
回 XAMPP Control Panel v3.0.11 
Modules 
Service Module PID(s) Port(s) 。 Actions 
罗 Apache Stat | | Admin | [configs| [togsad| 
sor starta] | Acmin | (aontiga] [togsaa 
因 pezna starta) | Admin | Ecoamoa Eteosa 
| Mercury Sstart | | Admn | Econigs | (etogsi) 
x] rom ell6  s005,8009,8080 Stop Admin | | Confg ] | Logs | 


图 5-13 XAMPP 控 制 面板 图 


为 了 验证 图 5-6 中 的 IPv6 的 网 络 状 况 ， 可 以 在 图 5-6 中 的 Server 端 也 
就 是 在 虚拟 机 VMware 中 的 Win 7 系统 的 浏览 器 地 址 栏 中 输入 地 址 “http:// 
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[2001::1]:8080”， 回 车 后 也 能 进入 到 Tomcat 服 务 器 的 欢迎 界面 ， 如 图 5-14 所 示 。 
注意 图 5-14 中 浏览 器 地 址 栏 中 的 地 址 为 IPv6 的 地 址 。 


文件 (” 编 包 (E) ” 喜 看 (V) 收藏 夫 (A) 工具 (D 帮助 (H) 
次 收 项 夫 | 和 Apache Tomcat705 | 


Home Documentation Configuration Examples Wiki | 


Apache Tomcat/7.0.25 re Apache Softwa 


http://www.e 


fyou're seeing this, you've successfully installed Tq 
Congratulations! 


图 5-14 ”在 VMware 的 Win 7 系统 中 访问 本 机 PC 上 的 IPv6 WEB 服 务 器 


在 IPv4 中 ， 对 于 一 个 URL 地 址 ， 当 需要 通过 直接 使 用 “IP 地 址 + 端口 号 ”的 
方式 来 访问 时 ， 可 以 表示 成 “http:/202.121.23.11:8080”。 但 是 如 果 IPv6 地 址 中 
含有 “:”， 为 了 避免 歧义 ， 在 URL 地 址 含有 IPv6 地 址 时 ， 用 “[]” 将 IPv6 地 址 包 
含 起 来 。 


6. 总 结 


(1) 如 图 5-6 所 示 的 IPv6 的 网 络 环境 ， 只 是 一 个 非常 简单 的 网 络 。 读 者 可 
以 根据 自己 的 实际 情况 把 它 复 杂 化 ， 以 满足 各 种 各 样 的 网 络 测试 需求 。 利 用 
DynamipsGUI 软 件 是 可 以 很 方便 地 把 几 台 或 多 台 路 由 器 、 交 换 机 和 防火 墙 互联 起 
来 ， 但 要 用 它 模拟 现实 网 络 中 复杂 的 客户 端 和 服务 器 端 就 有 些 难 度 。 图 5-6 网 络 
结构 虽然 简单 ， 也 只 是 把 基本 的 框架 搭建 起 来 ， 但 它 搭建 的 客户 端 和 服务 器 端 已 
经 很 接近 现实 了 ， 实 现 了 在 上 面 “5” 的 第 3 点 中 进行 WEB 服 务 测试 的 需求 。 另 
外 ， 也 可 以 把 图 $-6 中 的 一 台 路 由 器 变 成 三 台 、 五 台 ， 或 更 多 的 路 由 器 互联 ， 在 
它们 上 面 运行 RIP、OSPF 或 者 EIGRP 协 议 ， 以 便 进行 更 复杂 的 网 络 实验 。 


(2) 本 例 中 各 个 设备 之 间 的 内 在 逻辑 连接 关系 比较 复杂 ， 但 只 要 对 照 步骤 一 
步 步 做 下 来 就 能 明白 其 中 的 原理 。 主 要 是 因为 DynamipsGUI 和 VMware 两 个 软件 
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和 本 地 电脑 建立 的 连接 都 是 虚拟 连接 ， 不 像 现实 中 电脑 都 是 通过 网 线 连 接 到 交换 
机 上 ， 看 得 见 摸 得 着 比较 容易 理解 。 所 以 一 定 要 搞 清楚 两 个 软件 具备 的 功能 和 使 
用 方法 ， 这 样 才 好 理解 使 用 它们 搭建 起 来 的 网 络 环境 。 


(3) 实 践 是 检验 网 络 搭建 和 配置 是 否 正确 的 唯一 标准 。 从 我 自己 开始 参加 
CCNA 培 训 ， 到 后 期 的 CCIE 的 培训 ， 几 乎 每 一 堂 课 都 有 实践 操作 ， 都 有 实验 。 甚 
至 在 CCIE 的 培训 中 ， 绝 大 部 分 的 时 间 和 精力 放 在 “CCIE 集 训 营 ”、“CCIE LAB 
实验 室 ” 等 这 些 实 实在 在 的 实验 上 。 这 是 因为 我 们 学 到 的 每 一 个 知识 点 ， 最 终 都 
要 在 实践 中 验证 ， 通 过 做 实验 来 说 明 它 是 正确 的 还 是 错误 的 。 


包括 平时 在 书本 上 ， 或 网 上 看 到 一 些 知识 点 ， 可 能 在 原理 上 都 能 明白 ， 知 道 
它们 运行 的 机 制 和 过 程 。 但 即使 是 这 样 ， 也 只 有 通过 把 这 些 知识 点 涉及 到 的 一 些 
命令 在 交换 机 、 路 由 器 等 设备 上 操作 一 遍 ， 看 看 它们 到 底 符合 不 符合 书 上 所 讲 的 
结果 。 这 样 心底 才能 “踏实 ”的 接受 这 个 知识 点 ， 因 为 它 经 过 了 实践 的 检验 ! 


所 有 从 事 网 络 工作 者 ， 一 定 要 不 断 的 给 自己 创造 参与 实践 的 机 会 。 如 果 在 工 
作 中 能 接触 到 现成 的 网 络 设备 更 好 ， 这 样 学 习 起 来 更 方便 。 要 是 达 不 到 这 种 条 件 
的 话 ， 可 以 参加 一 些 培训 班 ， 它 们 多 多 少 少 都 能 提供 一 些 操作 实验 。 实 在 不 行 ， 
就 使 用 一 些 模拟 器 。 它 们 所 搭建 起 来 的 实验 环境 也 很 接近 真实 的 网 络 环境 。 总 
之 ， 一 切 网 络 知识 ， 只 有 经 过 实践 的 检验 ， 才 能 算 它 是 正确 的 ， 也 才能 算 自己 真 
正 掌握 了 它 。 


ER 
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记得 有 一 位 网 络 专家 曾经 说 过 ， 今 后 的 数据 连接 介质 就 是 光纤 和 无 线 ， 现 
在 的 双 绞 线 、 电 话 线 和 同 轴 电 缆 等 会 逐渐 地 被 淘汰 。 此 话 深 有 道理 ， 不 赞成 都 不 
行 。 但 此 处 我 们 只 谈 无 线 ， 光 纤 暂 且 不 说 。 


无 线 网 络 确实 是 个 好 东西 。 可 能 这 么 说 你 还 感觉 不 到 ， 但 是 如 果 现 在 把 所 有 
的 WIFI 和 移动 数据 网 络 都 停 掉 ， 估 计 有 一 大 片 人 都 会 疯 掉 ! 因为 现在 一 大 部 分 
人 的 生活 都 是 在 移动 网 络 上 度 过 的 ， 要 是 没 网 的 话 你 让 他 怎么 生活 ! 


通常 人 们 说 的 WIFI， 就 是 指 WLAN(Wireless Local Area Networks) 无 线 局 域 网 
络 ， 随 着 技术 的 不 断 发 展 ，WIFI 的 传输 速度 也 是 突飞猛进 ， 几 十 兆 、 几 百 兆 的 
速度 往 上 涨 ， 但 有 的 用 户 可 能 会 很 纳 闽 ，WIFI 的 网 速 能 达到 几 百 兆 ， 但 我 用 手 
机 上 网 怎么 感觉 这 么 慢 啊 ! 这 往往 是 用 户 的 一 个 错觉 ， 上 网 慢 有 时 并 不 是 WIFI 
的 网 速 慢 ， 而 是 WIFI 连接 的 上 级 网 络 速度 慢 导致 的 。 


比如 说 你 们 家 用 的 网 是 联通 的 网 络 ， 通 常 是 联通 公司 的 光纤 会 接 入 到 你 家 
里 ,在 你 家 里 会 放置 一 个 光纤 猫 ， 然 后 在 光纤 猫 上 会 有 一 个 网 口 ， 然 后 用 一 根 短 
网 线 ， 一 头 连接 光纤 猫 ， 另 一 头 连接 无 线路 由 器 的 WAN 口 。 可 能 有 的 家 里 不 用 
光纤 入 户 ， 也 没有 光纤 猫 ， 他 们 家 里 某 一 面 的 墙 上 就 有 网 络 信息 点 ， 信 息 点 上 
有 网 口 ， 也 是 拿 一 根 网 线 ， 一 端 接 墙 上 的 信息 点 网 口 ， 另 一 端 接 无 线路 由 器 的 
WAN 口 。 


还 有 重要 的 一 步 ， 就 是 要 用 家 里 的 电脑 连接 到 无 线路 由 器 上 ， 进 行路 由 器 连 
接 宽 带 用 户 名 和 密码 ， 以 及 无 线路 由 器 无 线 网 络 的 网 络 名 和 连接 此 网 络 的 密码 的 
设 定 ， 设 定 的 方法 一 般 在 无 线路 由 器 的 产品 说 明 书 中 都 会 有 详细 说 明 ， 或 者 联通 
上 门 安装 的 服务 人 员 会 亲自 给 你 进行 配置 的 。 


OK! 这 些 都 做 完 后 ， 你 就 可 以 打开 手机 或 笔记 本 ， 首 先 搜索 你 刚才 在 无 线 
路 由 器 上 设 定 的 无 线 网 络 名 ， 单 击 连 接 ， 然 后 按照 提示 输入 密码 后 ， 你 就 可 以 在 
互联 网 的 世界 里 任性 邀 游 了 ， 想 怎么 玩 就 怎么 玩 ! 


WIFI 的 普及 真是 无 处 不 在 ， 现 在 你 到 一 个 地 方 的 宾馆 或 者 饭店 等 ， 可 能 首 
先 要 问 的 就 是 你 这 里 有 没有 WIFI， 密 码 多 少 ? 有 一 次 我 到 一 家 饭店 吃饭 ， 我 坐 
好 后 ， 就 等 着 服务 员 把 菜单 拿 过 来 我 好 点 菜 ， 但 是 我 首先 等 来 的 不 是 菜单 ， 而 是 
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服务 员 递 给 我 一 个 单子 : “先生 ， 你 好 ! 这 是 我 们 饭店 的 WIFI 名 称 和 密码 ， 祝 你 
上 网 愉快 ! ”， 然 后 才 是 上 菜单 点 菜 ， 你 看 看 ， 人 家 的 服务 多 周到 ， 体 贴 入 微 。 


但 是 方便 、 易 用 的 移动 网 络 往往 是 一 把 双 丸 剑 ， 它 在 把 种 种 好 处 带 给 用 户 的 
同时 ， 带 给 你 的 坏处 也 是 大 大 的 。 


经 常 在 网 上 会 看 到 ， 用 户 的 银行 账户 信息 ， 邮 箱 密码 等 信息 被 无 故 盗 用 和 汇 
露 ， 这 其 中 的 一 部 分 祸 端 就 是 无 线 网 络 引 起 的 。WLAN 网 络 在 当初 设计 时 ， 就 有 
一 个 很 大 的 安全 缺陷 ， 也 就 是 在 你 的 移动 终端 和 无 线路 由 器 传输 的 数据 都 是 明文 
传输 ， 也 就 是 不 是 通过 加 密 的 。 如 果 你 用 手机 给 无 线路 由 器 发 送 的 数据 ， 包 括 有 
银行 账户 信息 邮箱 密码 等 ， 并 且 这 些 数据 被 黑客 截获 后 ， 他 们 很 快 就 能 知道 你 的 
重要 信息 。 


所 以 说 在 享受 无 线 网 络 带 来 种 种 好 处 的 同时 ， 安 全 这 根 弦 也 是 时 时 要 绷 紧 。 
最 重要 和 最 基本 的 安全 措施 有 两 条 ， 一 是 不 要 连接 没有 密码 保护 的 WIFI， 小 便 
宣 占 不 得 ， 很 有 可 能 你 连 得 就 是 非法 的 WIFI 和 黑客 的 无 线路 由 器 。 二 是 自己 的 
无 线路 由 器 要 设置 密码 保护 ， 而 且 密 码 的 强度 要 高 。 总 之 ， 就 是 要 采取 一 切 办 法 
把 坏人 、 黑 客 拒 之 门 外 。 


6.1 运 维 实例 : 小 型 路 由 器 常见 问题 解析 


目前 ， 在 很 多 单位 都 已 经 普遍 使 用 小 型 路 由 器 ， 常 见 的 品牌 有 TP-Link、 
D-Link 等 。 路 由 器 具备 的 功能 有 路 由 、 交 换 ， 有 的 还 有 无 线 功能 。 这 种 设备 现在 
在 家 庭 中 使 用 也 非常 普遍 ， 而 且 其 无 线 功能 使 用 的 人 越 来 越 多 。 把 路 由 器 上 的 
WAN 口 与 ADSL Modem 上 的 网 口 用 网 线 连接 起 来 ， 然 后 在 路 由 器 的 LAN 口 上 ， 
就 可 接 入 多 台 终 端 设备 ， 这 样 就 有 效 扩展 了 用 一 根 电话 线 访问 互联 网 的 终端 数 
量 。 另 外 小 型 路 由 器 的 无 线 功能 ， 可 以 让 用 户 在 信号 辐射 有 效 范围 之 内 ， 随 时 随 
地 方便 地 访问 Internet， 而 不 用 再 去 连接 繁琐 的 网 线 。 


但 是 ， 随 着 小 型 路 由 器 在 网 络 中 使 用 数量 的 增多 ， 带 来 相关 的 故障 也 越 来 越 
多 。 下 面 就 通过 自己 亲身 经 历 的 一 则 实例 ， 让 大 家 对 小 型 路 由 器 的 功能 和 使 用 方 
法 了 解 的 更 加 透彻 ， 若 以 后 再 碰 到 类 似 的 故障 ， 也 不 至 于 手忙脚乱 。 
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1. 网 络 概况 


网 络 结构 图 如 图 6-1 所 示 ， 核 心 层 交 换 机 使 用 的 是 Cisco4506， 接 入 层 交 换 
机 使 用 的 是 Cisco3750。 公 司 IP 地 址 的 部 署 ， 使 用 的 是 A 类 私有 10 网 段 的 地 址 。 
DHCP 服 务 器 的 IP 地 址 为 10.1.1.1。 而 TP-Link 路 由 器 上 的 用 户 ,访问 互联 网 时 
使 用 的 IP 地 址 是 C 类 私有 192 网 段 地 址 ， 它 是 路 由 器 自动 分 配 的 。Cisco4506 和 
Cisco3750 之 间 是 Trunk 连 接 。4506 通 过 光纤 连 至 互联 网 。 


Internet 互联 网 ) 


Cisco3750 


TP-Link 路 由 器 


WAND LAND 


PC1 PC2 
图 6-1 网 络 结构 图 


2. 使 用 小 型 路 由 器 的 原因 


使 用 的 TP-Link 路 由 器 ， 有 的 有 4 个 LAN 口 ， 有 的 有 7 个 LAN 口 。 它 们 在 单位 
的 普遍 使 用 主要 有 两 个 原因 。 


一 是 ， 许 多 办 公 室 的 电脑 在 连 至 互联 网 时 ， 办 公 室 中 电脑 的 数量 ， 比 房间 中 
信息 插座 的 数量 要 多 很 多 ， 这 样 就 不 能 保证 把 所 有 的 电脑 都 接 入 到 信息 插座 中 。 
通过 使 用 TP-Link 路 由 器 就 能 对 办 公 室 中 的 信息 插座 的 数量 进行 有 效 的 扩充 。 路 
由 器 的 WAN 口 连 至 办 公 室 中 的 一 个 信息 插座 上 ， 然 后 在 LAN 口 上 就 可 接 入 用 户 
的 PC 了 ， 这 样 就 把 信息 插座 的 数量 从 一 个 扩充 到 了 4 个 或 7 个 ， 也 就 能 保证 所 有 
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的 用 户 都 连接 到 Intermnet 上 。 


二 是 ， 有 很 多 办 公 室 ， 因 为 业务 需求 ， 需 要 组 建 自 己 的 小 型 局 域 网 。 要 求 
局 域 网 外 的 用 户 不 能 访问 到 局 域 网 内 的 数据 ， 但 要 保证 局 域 网 内 的 用 户 都 能 访问 
到 互联 网 。 这 种 情况 下 ， 使 用 小 型 的 TP-Link 路 由 器 也 是 很 好 的 选择 。 路 由 器 的 
WAN 口 连 至 网 络 中 Cisco3750 交 换 机 上 ， 然 后 路 由 器 上 所 有 的 LAN 口 就 构成 了 一 
个 小 的 局 域 网 。 这 时 TP-Link 上 实际 应 用 了 NAT 的 PAT(Port Address Translation， 
端口 地 址 转换 ) 转 换 规则 ， 在 10 网 段 中 的 一 个 人 P 地 址 及 服务 端口 和 192 网 段 中 的 也 
地 址 及 服务 端口 之 间 建 立 了 一 个 一 一 对 应 的 关系 。 


3. 小 型 路 由 器 在 使 用 中 带 来 的 问题 


小 型 路 由 器 在 公司 使 用 数量 的 增多 ， 相 应 地 与 之 相关 的 网 络 故 障 也 变 得 复 
杂 起 来 。 因 为 TP-Link 路 由 器 放 在 用 户 的 办 公 室 中 ， 当 用 户 不 能 正常 访问 互联 网 
时 ， 经 常会 私自 改变 路 由 器 上 的 接线 方式 。 如 图 6-2 所 示 就 是 常见 故障 中 的 一 种 。 


Trunk 连 : 


图 6-2 引起 网 络 故障 的 错误 连接 方式 


图 中 的 左边 部 分 ， 是 引起 网 络 故障 的 错误 连接 ， 用 户 把 连接 到 WAN 口 上 的 
网 线 接 到 了 LAN 口 上 。 这 种 错误 的 接 入 ， 严 重 的 话 可 能 会 引起 整个 网 络 的 瘫痪 ， 
因为 TP-Link 路 由 器 在 它 的 内 部 其 实 也 内 置 了 一 台 DHCP 服 务 器 ， 这 样 整个 网 络 中 
就 相当 于 有 了 两 台 DHCP 服 务 器 ， 如 图 6-2 所 示 的 右边 部 分 ， 它 其 实 和 左边 的 网 络 
是 等 效 的 。 
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单位 大 网 中 使 用 的 是 10 网 段 地 址 ， 而 TP-Link 小 的 局 域 网 中 使 用 的 是 192 网 段 
的 地 址 。 用 户 在 错误 地 连接 TP-Link 路 由 器 后 ， 网 络 中 有 很 多 用 户 电脑 本 来 应 该 
获取 到 的 是 10 网 段 的 地 址 ， 现 在 却 获取 到 的 是 192 网 段 的 地 址 。 而 办 公 室 局 域 网 
中 的 用 户 ， 本 来 应 该 获取 到 的 是 192 网 段 的 地 址 ， 而 实际 获取 到 的 却 是 10 网 段 的 
地 址 。 错 误 的 连接 ， 导 致 单 位 网 络 客户 端 获取 到 错误 的 耳 地 址 ， 进 而 导致 大 部 分 
用 户 不 能 正常 访问 互联 网 。 

4. 解决 问题 的 两 种 方法 

(1) 网 络 中 出 现 这 种 问题 后 ， 若 要 以 最 快 的 速度 排除 故障 ， 其 实 只 要 把 从 
Cisco3750 接 到 小 型 路 由 器 LAN 口 上 的 网 线 ， 再 重新 接 到 WAN 口 上 就 能 使 整个 网 
络 恢复 正常 。 

(2) 上 面 的 方法 ， 虽 然 排 除 故障 的 速度 很 快 ， 但 不 能 从 根本 上 解决 问题 。 因 


为 用 户 若 把 网 线 再 次 错误 接 入 ， 网 络 马上 就 会 再 次 瘫痪 。 最 彻底 的 办 法 就 是 把 
TP-Link 路 由 器 上 的 DHCP 服 务 器 功能 关闭 。 


一 般 在 连 至 TP-Link 路 由 器 LAN 口 上 的 电脑 浏览 器 地 址 栏 中 ， 输 入 
“http://192.168.0.1”， 回 车 后 就 能 进入 TP-Link 路 由 器 的 WEB 管 理 界面 ， 然 后 再 
进入 DHCP 服 务 器 的 设置 界面 ， 如 图 6-3 所 示 。 


在 这 部 分 中 配置 内 置 DHCP 服 务 器 ， 将 iP 地 址 分 配给 您 网 络 上 的 计算 机 。 


启用 DHCP 服 务 器 : 回 
DHCP IP 地 址 范围 : 到 199 (LAN 子 网 内 的 地 址 ) 
DHCP 租 用 时 间 : (分 


图 6-3 ”关闭 TP-Link 路 由 器 中 DHCP 服 务 器 功能 


把 “DHCP 服务 器 设置 ”中 的 “启用 DHCP 服 务 器 ”后 面 的 勾 去 掉 即 可 。 然 
后 把 从 Cisco3750 上 连 至 WAN 口 上 的 网 线 ， 连 至 LAN 口 上 ， 也 就 是 不 再 使 用 WAN 
口 了 。 这 样 TP-Link 路 由 器 其 实 就 变 成 了 一 台 小 型 交换 机 。 办 公 室 中 的 用 户 若 还 
要 使 用 小 型 局 域 网 的 功能 ， 只 需 在 Cisco3750 上 配置 相应 的 命令 即 可 。 这 样 就 彻 
底 避 免 了 网 络 中 有 多 台 DHCP 服 务 器 时 引起 网 络 崩 省 的 故障 。 


第 6 章 ”无 线 网 络 1253 


5. 结束 语 
(D 小 型 路 由 器 中 一 般 都 使 用 了 两 种 重要 技术 : PAT 和 DHCP 服 务 器 功能 。 


G@PAT( 端 口 地 址 转换 )。 属 于 NAT 中 三 大 规则 中 的 一 种 ， 另 外 两 种 是 静态 
NAT(Static NAT) 和 动态 NAT(Dynamic NAT)。PAT 有 时 也 称 动态 复 用 NAT， 它 改 
变 了 外 出 数据 包 的 源 端 口 ， 并 进行 端口 转换 ， 采 用 端口 多 路 复 用 方式 。 内 部 网 络 
的 所 有 主机 均 可 共享 一 个 合法 外 部 卫 地 址 实现 对 Intemet 的 访问 ， 可 以 最 大 限度 地 
节约 人 P 地 址 资源 。 同 时 ， 也 可 以 隐藏 网 络 内 部 的 所 有 主机 ， 有 效 避 免 来 自 Internet 
的 攻击 。 因 此 ， 目 前 网 络 中 应 用 最 多 的 就 是 PAT 规 则 。 


@DHCP 服 务 器 功能 。 当 一 台电 脑 第 一 次 接 入 到 ， 配 置 有 DHCP 服 务 器 的 
网 络 中 时 ， 客 户 机 上 没有 任何 的 了 P 数 据 设 定 ， 也 就 是 没有 IP 地 址 、DNS 和 默认 
网 关 地 址 ， 这 时 它 会 向 网 络 中 发 出 一 个 DHCP Discover 数 据 包 。 因 为 客户 端 还 
不 知道 自己 属于 哪 一 个 网 络 ， 所 以 数据 包 的 源 地 址 为 0.0.0.0， 而 目的 地 址 则 为 
255.255.255.255 ， 向 网 络 进 行 广播 。 当 客户 端 将 第 一 个 DHCP Discover 数 据 包 送 
出 去 之 后 ， 在 一 秒 之 内 若 没 有 得 到 响应 的 话 ， 就 会 进行 第 二 次 DHCP Discover 数 
据 包 的 广播 。 若 一 直 得 不 到 响应 的 情况 下 ， 客 户 端 一 共 会 有 四 次 DHCP Discover 
数据 包 广播 。 


在 DHCP 服 务 器 收 到 DHCP Discover 发 现 报 文 后 会 做 出 响应 ， 它 从 尚未 出 租 
的 人 P 地 址 中 挑选 一 个 分 配给 DHCP 客 户 机 ， 并 根据 DHCP Discover 数 据 包 中 原来 携 
带 的 客户 机 MAC 地 址 ， 向 客户 机 发 送 一 个 包含 出 租 的 人 P 地 址 、DNS 和 默认 网 关 
地 址 的 DHCP Offer 提 供 报 文 。 


如 果 网 络 中 有 多 台 DHCP 服 务 器 向 客户 机 发 来 DHCP Offer 提 供 亿 地 址 ， 则 客 
户 机 只 接受 第 一 个 收 到 的 DHCP Offer 报 文 提供 的 人 P 地 址 。 


从 以 上 分 析 DHCP 服 务 器 的 工作 过 程 可 以 看 出 ， 当 网 络 中 有 两 个 DHCP 服 务 
器 运行 的 时 候 ， 客 户 机 获取 也 地 址 时 ， 哪 个 DHCP 服 务 器 提供 的 速度 快 ， 客 户 机 
就 采用 那个 DHCP 服 务 器 的 提供 的 人 P 地 址 。 所 以 ， 当 把 接 入 TP-Link 的 WAN 口 的 
网 线 接 入 LAN 口 后 ， 网 路 中 就 包含 了 两 个 DHCP 服 务 器 。 这 样 哪个 DHCP 服 务 器 
分 发 到 客户 端的 人 P 地 址 速度 快 ， 客 户 端 就 采用 了 那个 DHCP 的 IP 地 址 ， 最 终 导 致 
网 络 故障 。 


(2) 网 络 的 平稳 正常 运行 ， 离 不 开 科学 的 管理 。 用 户 出 现 不 能 访问 网 络 的 故 
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障 ， 应 当 及 时 向 网 路 管理 部 门 上 报 ， 而 不 应 私自 处 置 。 其 次 ， 应 当 禁 止 用 户 对 放 
置 在 办 公 室 中 的 小 型 路 由 器 上 的 网 线 私自 接 入 和 拔 出 。 如 果 单 位 的 用 户 都 能 遵守 
网 络 管理 规定 ， 就 不 会 引起 网 络 瘫痪 ， 其 次 在 排除 网 络 故 障 时 ， 也 就 完全 没有 必 
要 把 小 型 路 由 器 变 成 交换 机 使 用 了 。 


6.2” 运 维 实例 : SOHO 路 由 器 引起 的 下 地 址 冲突 


SOHO 路 由 器 ， 目 前 在 很 多 单位 都 已 经 普遍 使 用 ， 好 的 品牌 有 Cisco、H3C， 
常用 的 品牌 有 TP-Link、D-Link 等 。SOHO 路 由 器 具备 的 功能 有 路 由 、 交 换 ， 有 的 
还 有 无 线 功能 。 这 种 设备 现在 在 家 庭 中 使 用 也 很 普遍 ， 而 且 其 无 线 功能 使 用 的 人 
越 来 越 多 。 把 路 由 器 上 的 WAN 口 与 ADSL Modem 上 的 网 口 用 网 线 连接 起 来 ， 然 
后 在 路 由 器 的 LAN 口 上 ， 就 可 接 入 多 台 终端 设备 ， 这 样 就 有 效 扩展 了 用 一 根 电话 
线 访 问 互联 网 的 终端 数量 。 另 外 SOHO 路 由 器 的 无 线 功能 ， 可 以 让 用 户 在 信号 辐 
射 有 效 范 围 之 内 ， 随 时 随地 方便 的 访问 Intermet， 而 不 用 再 去 连接 繁琐 的 网 线 。 


但 是 ， 随 着 SOHO 路 由 器 在 网 络 中 使 用 数量 的 增多 ， 带 来 相关 的 故障 也 越 来 
越 多 。 下 面 就 通过 一 则 实例 ， 让 大 家 对 SOHO 路 由 器 的 功能 和 使 用 方法 了 解 的 更 
加 透彻 。 若 以 后 再 碰 到 类 似 的 故障 ， 也 不 至 于 手忙脚乱 。 


1. 公司 网 络 结构 


网 络 结构 图 如 图 6-4 所 示 。 为 了 确保 重要 设备 的 稳定 性 和 宛 余 性 ， 核 心 层 交 
换 机 使 用 两 台 Cisco4506， 通 过 Trunk 线 连接 。 在 接 入 层 使 用 了 多 人 台 Cisco3750 交 换 
机 ， 图 示 为 了 简洁 ， 只 画 出 了 两 台 。 在 核心 交换 机 上 连接 有 公司 重要 的 服务 器 ， 
如 DHCP、E-MAIL 服 务 器 、WEB 服 务 器 等 。 公 司 IP 地 址 的 部 署 ， 使 用 的 是 B 类 私 
有 172 网 段 的 地 址 。DHCP 服 务 器 的 人 P 地 址 为 172.16.1.1。Cisco4506 和 Cisco3750 之 
间 也 是 Trank 连 接 。4506 通 过 光纤 连接 至 互联 网 。 
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户 组 用 户 组 
图 6-4 网 络 结构 图 


2. 公司 使 用 SOHO 路 由 器 的 原因 


公司 使 用 的 D-Link 路 由 器 ， 有 的 有 4 个 LAN 口 ， 有 的 有 7 个 LAN 口 。 它 们 在 单 
位 的 普遍 使 用 主要 有 两 个 原因 。 


一 是 ， 许 多 办 公 室 的 电脑 在 连 至 互联 网 时 ， 办 公 室 中 电脑 的 数量 ， 比 房间 中 
信息 插座 的 数量 要 多 很 多 ， 这 样 就 不 能 保证 把 所 有 的 电脑 都 接 入 到 信息 插座 中 。 
通过 使 用 D-Link 路 由 器 就 能 对 办 公 室 中 的 信息 插座 的 数量 进行 有 效 的 扩充 。 路 由 
器 的 WAN 口 连 至 办 公 室 中 的 一 个 信息 插座 上 ， 然 后 在 LAN 口 上 就 可 接 入 用 户 的 
PC 了 ， 这 样 就 把 信息 插座 的 数量 从 一 个 扩充 到 了 4 个 或 7 个 ， 也 就 能 保证 所 有 的 
用 户 都 连接 到 Internet 上 。 


二 是 ， 有 很 多 办 公 室 ， 因 为 业务 需求 ， 需 要 组 建 自己 的 小 型 局 域 网 。 要 求 
局 域 网 外 的 用 户 不 能 访问 到 局 域 网 内 的 数据 ， 但 要 保证 局 域 网 内 的 用 户 都 能 访 
问 到 互联 网 。 这 种 情况 下 ， 使 用 小 型 的 D-Link 路 由 器 也 是 很 好 的 选择 。 路 由 器 的 
WAN 口 连 至 网 络 中 Cisco3750 交 换 机 上 ， 然 后 路 由 器 上 所 有 的 LAN 口 就 构成 了 一 
个 小 的 局 域 网 。 这 时 D-Link 上 实际 应 用 了 NAT 的 PAT(Port Address Translation， 端 
口 地 址 转换 ) 转 换 规 则 。 
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3. 故障 发 生 的 过 程 


SOHO 路 由 器 在 公司 使 用 数量 的 增多 ， 相 应 的 与 之 相关 的 网 络 故障 也 变 得 复 
杂 起 来 。 因 为 单位 新 聘用 了 一 名 员工 ， 要 把 他 的 PC 接 入 到 网 络 中 ， 但 接 入 时 总 
提示 “了 地 址 与 网 络 上 的 其 他 系统 有 冲突 ”。 后 来 ， 把 电脑 网 卡 上 的 网 线 拔 掉 
再 插 上 ， 让 电脑 重新 从 DHCP 服 务 器 获取 IP 地 址 ， 但 故障 依旧 。 接 着 又 在 电脑 的 
“命令 行 ”中 用 “ipconfig /release” 命 令 释 放 网 卡 上 的 他 地 址 ， 然 后 再 执行 命令 
“ipconfig /renew”， 让 电脑 再 重新 获取 一 次 地 址 ， 但 系统 还 是 提示 地 址 冲突 。 


接着 ， 我 们 在 “命令 行 ”中 执行 “ipconfig /all”， 发 现 电 脑 获取 到 的 卫 地 址 
是 172.16.11.34/24。 既 然 提示 说 地 址 冲突 ， 那 么 在 网 络 中 肯定 还 有 一 台 设 备 在 使 
用 172.16.11.34 这 个 地 址 。 为 了 验证 这 种 判断 ， 先 把 新 接 入 网 络 中 的 电脑 关机 ， 
然后 在 网 络 中 的 其 他 电脑 上 ， 执 行 “ping 172.16.11.34” 命 令 ， 结 果 和 预期 的 一 
样 ， 可 以 ping 通 。 这 就 证 明了 ， 网 络 中 还 有 一 台 设 备 正 在 使 用 172.16.11.34。 接 下 
来 就 是 找 出 网 络 中 的 哪 台 设备 在 使 用 这 个 地 址 。 


4. 排查 故障 的 步骤 


(1) 按 照 当 初 网 路 的 设计 ， 客 户 端 都 是 自动 从 DHCP 服 务 器 获取 IP 地 址 ， 也 
就 是 客户 端 使 用 的 JP 地址 不 是 固定 的 。 当 从 DHCP 服 务 器 获取 的 人 P 地 址 租用 期 满 
了 之 后 ， 若 再 重新 获取 的 话 ，IP 地 址 就 会 有 变化 。 但 在 网 络 的 同一 VLAN 中 使 用 
172.16.11.34/24 地 址 ， 可 能 有 一 百 多 台 PC， 总 不 能 一 台 一 台 去 查 ， 这 样 效率 太 低 。 


(2) 最 终 我 们 把 寻找 172.16.11.34/24 的 最 好 方法 放 在 了 Cisco4506 和 Cisco3750 
上 ， 因 为 在 三 层 交 换 机 中 都 保存 有 ARP 表 ， 而 在 二 层 和 三 层 交 换 机 中 都 保存 有 主 
机 MAC 地 址 和 交换 机 接口 对 应 的 二 层 CAM 表 。 通 过 这 两 张 表 就 很 容易 找到 IP 地 
址 对 应 的 设备 。 首 先 我 们 在 Cisco4506 上 执行 如 下 命令 : 


Cisco-4506#show arp | include 172.16.11.34 
Protocol Address Age (min) Hardware Addr Type Interface 


Internet E216. T1334 8 00d1.8624.1a02 ARPA VLAN11 


上 面 命令 显示 的 结果 ， 只 是 4506 中 ARP 表 内 容 的 一 部 分 。 通 过 它 可 以 找到 IP 
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地 址 172.16.11.34 所 对 应 的 MAC 地 址 00d1.8624.1a02。 


(3) 因 为 每 一 台电 脑 的 MAC 地 址 都 是 全 球 唯一 的 ， 所 以 我 们 再 在 Cisco3750 上 
执行 如 下 命令 : 


Cisco-3750#show mac-address-table dynamic | include 00d1.8624.1a02 


Mac Address Table 


和 00d1.8624.1a02 DYNAMIC Gi1/0/13 


上 面 命令 的 显示 结果 ， 也 只 是 3750 中 CAM 表 内 容 的 一 部 分 。 通 过 显示 结果 
我 们 找到 了 IP 地 址 是 172.16.11.34 的 设备 是 通过 3750 的 Gil/0/13 口 连接 到 网 络 中 
的 。 然 后 我 们 再 通过 连接 3750 的 Gil/0/13 口 和 机 房 中 配 线 架 的 网 络 跳 线 ， 找 到 与 
Cisco3750 Gil/0/13 连 接 的 配 线 架 上 端口 对 应 的 办 公 室 房间 号 。 结 果 ， 我 们 在 那 间 
办 公 室 中 找到 了 一 台 D-Link 路 由 器 。 路 由 器 在 网 络 中 的 连接 示意 图 如 图 6-5 所 示 。 


有 


Cisco4506 DHCP 


Trunki 


Cisco3750 


| D-Link 路 由 器 


WAN 口 LAN 口 


PC1 PC2 
图 6-5 引起 地 址 冲突 的 路 由 器 连接 图 
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(4) 接 着 在 连接 D-Link 路 由 器 的 PC 中 的 “命令 行 ”中 执行 “ipconfig /all” 命 
令 ， 查 找到 D-Link 路 由 器 的 网 关 地 址 是 192.168.1.1， 然 后 在 PC 的 浏览 器 地 址 栏 中 
输入 192.168.1.1， 进 入 D-Link 的 WEB 配 置 管理 界面 。 一 般 的 SOHO 路 由 器 的 管理 
配置 都 是 以 这 种 方式 进入 的 。 最 后 ， 在 D-Link 的 WEB 页 面 中 找到 了 引起 网 络 IP 地 
址 冲突 的 错误 配置 ， 如 图 6-6 所 示 。 


高 级 维护 状态 


因特网 连接 类 型 


选择 路 由 器 使 用 的 模式 来 访问 因特网 - 


我 的 因特网 连接 是 


注入 由 您 的 因特网 服务 供应 商 提供 的 净 术 地 址 信息 - 
tp 地 址 (由 您 的 1SP 分 配 ) 

子 网 约克 ;35255550 
1SP 网 基地 址 ; 172. 


MAC 地 址 : 69“ -0 -0 -0 -0 -0 (可 选 ) 
复制 NAC 地 址 
百 造 DNS 地 址 ; 58.68.215.51 
冀 造 DNS 地 址 : 8.8.8.8 (可 选 ) 
MTU : 1500 


图 6-6 D-Link 路 由 器 上 的 错误 设置 


(5) 就 是 因为 在 此 设备 上 也 配置 了 静态 的 172.16.11.34/24 地 址 ， 导 致 网 络 故 
障 。 要 排除 冲突 故障 ， 只 要 在 WEB 管 理 界面 中 的 “因特网 连接 ”一 “因特网 连 
接 类 型 ”中 ， 选 择 “ 动 态 ”， 然 后 单 击 保存 即 可 ， 如 图 6-7 所 示 。 

[7// 

关 掉 设 园 


选择 路 由 器 使 用 的 模式 来 访问 因特网 


我 的 因特网 连接 是 : 动态 PP 


图 6-7 ”排除 下 地 址 冲突 的 正确 设置 


5. 总 结 


(1)SOHO 路 由 器 中 一 般 都 使 用 了 两 种 重要 技术 : PAT 和 DHCP 服 务 器 功能 。 


@PAT( 端 口 地 址 转换 )。 属 于 NAT 中 三 大 规则 中 的 一 种 ， 另 外 两 种 是 静态 
NAT(Static NAT) 和 动态 NAT(Dynamic NAT)。PAT 有 时 也 称 动态 复 用 NAT， 它 改 
变 了 外 出 数据 包 的 源 端口 ， 并 进行 端口 转换 ， 采 用 端口 多 路 复 用 方式 。 内 部 网 络 
的 所 有 主机 均 可 共享 一 个 合法 外 部 耳 地址 实现 对 Intemet 的 访问 ， 可 以 最 大 限度 地 
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节约 IP 地 址 资源 。 同 时 ， 也 可 以 隐藏 网 络 内 部 的 所 有 主机 ， 有 效 避 免 来 自 Intemet 
的 攻击 。 因 此 ， 目 前 网 络 中 应 用 最 多 的 就 是 PAT 规 则 。 


@DHCP 服 务 器 功能 。 当 一 台电 脑 第 一 次 接 入 到 配置 有 DHCP 服 务 器 的 网 
络 中 时 ， 客 户 机 上 没有 任何 的 IP 数 据 设 定 ， 也 就 是 没有 IP 地 址 、DNS 和 默认 
网 关 地 址 ， 这 时 它 会 向 网 络 中 发 出 一 个 DHCP Discover 数 据 包 。 因 为 客户 端 还 
不 知道 自己 属于 哪 一 个 网 络 ， 所 以 数据 包 的 源 地 址 为 0.0.0.0， 而 目的 地 址 则 为 
255.255.255.255， 向 网 络 进行 广播 。 当 客户 端 将 第 一 个 DHCP Discover 数 据 包 送 
出 去 之 后 ， 在 一 秒 之 内 若 没有 得 到 响应 的 话 ， 就 会 进行 第 二 次 DHCP Discover 数 
据 包 的 广播 。 若 一 直 得 不 到 响应 的 情况 下 ， 客 户 端 一 共 会 有 四 次 DHCP Discover 
数据 包 广播 。 


在 DHCP 服 务 器 收 到 DHCP Discover 发 现 报 文 后 会 做 出 响应 ， 它 从 尚未 出 租 
的 IP 地 址 中 挑选 一 个 分 配给 DHCP 客 户 机 ， 并 根据 DHCP Discover 数 据 包 中 原来 携 
带 的 客户 机 MAC 地 址 ， 向 客户 机 发 送 一 个 包含 出 租 的 耳 地 址 、DNS 和 默认 网 关 
地 址 的 DHCP Offer 提 供 报 文 。 


(2) 对 故障 的 深入 分 析 。 通 过 上 面 对 DHCP 工 作 原 理 的 分 析 ， 发 现 当 网 络 中 
SOHO 路 由 器 上 也 配置 了 静态 的 172.16.11.34 地 址 后 ， 若 再 有 PC 接 入 到 网 络 中 ， 
DHCP 给 PC 分 配 卫 地 址 时 ， 因 为 它 并 不 知道 172.16.11.34 已 在 网 络 中 配置 ， 所 以 
它 还 是 按照 IP 地 址 分 配 的 顺序 ， 前 面 172.16.11.1~33 的 地 址 已 经 分 配 ， 自 然 就 把 
172.16.11.34 分 配给 了 新 加 入 网 络 中 的 PC， 从 而 造成 了 冲突 故障 。 


(3)CAM 表 和 ARP 表 。 在 二 层 和 三 层 交 换 机 上 都 会 维护 一 张 用 于 二 层 交换 的 
地 址 表 ， 即 CAM 表 。 该 表 是 MAC 地 址 与 交换 机 出 接口 的 对 应 关系 。 这 样 当 收 到 
一 个 以 太 网 数据 帧 时 ， 交 换 机 判断 如 果 该 数据 帧 不 是 发 送 给 自己 的 ， 则 根据 数据 
帧 的 目的 MAC 地 址 查询 CAM 表 ， 如 果 能 在 CAM 表 中 找到 与 该 MAC 地 址 对 应 的 
转发 项 ， 则 根据 查询 的 结果 ， 通 常 是 一 个 出 接口 列表 ， 在 相应 的 接口 上 把 数据 帧 
转发 出 去 。 如 果 不 能 找到 ， 则 向 所 有 端口 广播 该 数据 帧 。 


在 网 络 中 的 三 层 设 备 上 都 会 维护 一 张 ARP 表 ， 用 于 查找 连接 到 三 层 设备 的 客 
户 端 或 服务 器 的 IP 地 址 和 其 MAC 地 址 。 也 就 说 只 要 知道 MAC 地 址 和 卫 地 址 其 中 
的 一 个 就 可 以 知道 另外 一 个 。 通 常 在 网 络 中 利用 这 两 张 表 就 可 以 迅速 地 确定 一 个 
设备 的 具体 位 置 。 
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信息 化 在 一 个 单位 的 建设 实施 ， 最 直观 的 反映 就 是 一 个 个 的 应 用 系统 。 
OA(Office Automation) 办 公 自 动 化 系统 、 档 案 系 统 、 人 事 系统 和 财务 系统 ， 这 些 
系统 都 是 基本 的 ， 一 般 的 单位 都 有 。 每 个 单位 有 每 个 单位 侧重 的 专业 ， 相 应 的 在 
信息 化 建设 方面 ， 就 要 部 署 对 应 的 应 用 系统 ， 像 在 传媒 出 版 集团 ， 就 要 有 编排 
应 用 系统 、 出 版 发 行 系统 等 ， 在 军事 工业 集团 就 要 有 产品 测试 系统 、 军 事 演练 系 
统 等 。 


随 着 信息 化 建设 规模 的 不 断 扩 大 和 计算 机 应 用 的 不 断 推广 ， 各 单位 的 应 用 系 
统 建设 也 是 与 日 俱 增 ， 就 比如 现在 的 移动 终端 使 用 非常 广泛 ， 最 主要 的 原因 是 移 
动 终端 上 的 应 用 给 用 户 带 来 了 实 实在 在 的 好 处 。 

现在 流行 的 移动 办 公 ， 就 是 把 原来 在 电脑 台式 机 上 办 公 的 部 分 内 容 ， 迁 移 到 
移动 终端 上 ， 实 现 用 户 在 手机 上 也 可 以 登录 到 单位 的 办 公 系 统 、 财 务 系统 等 。 这 
些 功 能 的 实现 ， 就 少不了 进行 后 台 系统 的 开发 ， 而 且 要 实现 好 的 用 户 体验 ， 还 要 
有 针对 性 的 开发 ， 比 如 对 Android 和 苹果 IOS 两 类 不 同 移动 终端 系统 的 开发 。 


确定 用 户 好 的 体验 是 和 后 台 开发 和 运 维 人 员 的 辛苦 努力 是 分 不 开 的 ， 用 户 的 
体验 越 好 ， 他 们 就 越 辛苦 。 以 前 的 应 用 系统 ， 只 应 用 在 台式 机 或 笔记 本 上 ， 现 在 
多 出 了 在 移动 端的 应 用 系统 ， 运 维 人 员 的 工作 量 也 要 随 之 增加 。 


应 用 系统 的 上 层 是 具体 的 用 户 ， 应 用 系统 的 下 层 就 是 网 络 支撑 平台 一 一 网 络 
系统 。 所 以 ， 应 用 系统 在 一 个 单位 的 信息 化 部 门 中 是 起 着 承上启下 的 作用 的 。 


没有 一 个 好 的 网 络 基础 平台 ， 再 好 的 应 用 系统 也 发 挥 不 出 它 应 有 的 作用 ， 也 
不 会 有 好 的 用 户 体验 。 一 个 好 的 网 络 基础 支撑 平台 ， 若 没有 高 效 的 应 用 系统 在 它 
上 面 运行 ， 也 体现 不 出 它 应 有 的 价值 。 所 有 的 网 络 支撑 平台 和 应 用 系统 平台 二 者 
之 间 是 相辅相成 ， 缺 一 不 可 的 。 


这 在 一 个 单位 的 信息 化 管理 部 门 的 运作 上 也 能 够 反映 出 来 ， 通 常 是 用 户 反映 
某 个 应 用 系统 无 法 使 用 时 ， 系 统 运 维 人 员 和 网 络 运 维 人 员 就 要 密切 合作 ， 一 点 点 
排查 可 能 引起 问题 的 故障 点 ， 直 到 最 终 找 到 故障 真正 原因 。 


作为 网 络 运 维 人 员 ， 在 专业 水 准 上 不 可 能 达到 系统 运 维 人 员 的 水 平 ， 但 是 要 
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掌握 应 用 系统 的 基本 知识 也 是 必 不 可 少 的 ， 本 章节 是 叙述 一 些 应 用 系统 的 基本 知 
识 ， 主 要 包括 Windows 系 统 、Linux 系 统 和 应 用 系统 的 运 维 管理 软件 等 。 


7.1 运 维 实例 : 搭建 Linux 学 习 环 境 的 5 种 方法 


目前 ，Windows 在 个 人 版 电脑 操作 系统 中 占据 着 绝对 的 优势 ， 但 是 在 服务 器 
操作 系统 方面 ， 却 不 再 是 Windows 一 家 独 大 ， 这 多 少 能 让 人 感到 不 少 欣慰 ， 因 为 
Unix、Linux 是 绝对 可 以 和 微软 相 抗衡 的 。 甚 至 ， 在 许多 单位 Unix 和 Linux 的 部 署 
已 远 远 超过 了 Windows 系 统 ， 尤 其 是 Linux 的 应 用 更 多 。 


Linux 系 统 不 像 Windows 系 统 ， 所 有 的 操作 都 能 在 “窗口 ”中 完成 ， 虽 然 
Linux 也 有 图 像 化 的 操作 界面 ， 但 其 功能 远 远 不 能 和 Windows 相 提 并 论 。 它 绝 大 
部 分 的 功能 都 要 通过 “终端 ”命令 行 的 模式 去 完成 。 学 习 Linux 系 统 最 好 的 方法 
就 是 搭建 真实 的 Linux 学 习 环 境 。 现 在 个 人 电脑 都 已 经 非常 普及 ， 在 电脑 上 安装 
一 个 Linux 系 统 ， 不 就 很 快 搭建 起 一 个 Linux 的 学 习 环 境 了 吗 ? 但 它 未 必 是 最 好 的 
方法 。 下 面 就 把 搭建 Linux 学 习 环 境 的 5 种 方法 介绍 如 下 ， 看 看 哪 一 个 是 最 适合 你 
的 方法 。 

1. 在 Windows 服 务 器 上 安装 VMware， 并 在 VMware 中 安装 Linux 系 统 ， 然 后 
通过 远程 登录 到 Windows 服 务 器 上 的 VMware， 学 习 Linux 


搭建 这 种 环境 的 过 程 是 这 样 的 ， 因 为 单位 有 一 台 联 想 的 服务 器 ， 安 装 的 操作 
系统 为 Windows 2003， 对 外 提供 WEB 服 务 ， 卫 地 址 为 21.89.54.213。 但 服务 器 上 
的 WEB 应 用 占据 服务 器 上 的 硬件 资源 却 非常 少 ， 并 且 它 对 可 靠 性 的 要 求 不 是 很 
严格 ， 不 过 还 是 每 天 24 小 时 开 着 机 。 服 务 器 上 就 跑 一 个 很 简单 的 WEB 应 用 ， 这 
对 服务 器 的 硬件 资源 其 实 是 一 种 很 严重 的 浪费 ， 它 上 面 的 CPU、 内 存根 本 没有 使 
用 多 少 ， 所 以 就 想到 何不 在 服务 器 上 安装 一 个 Linux 系 统 ， 把 服务 器 当成 个 学 习 
的 工具 ， 这 样 既 充 分 利用 了 服务 器 的 硬件 资源 ， 同 时 它 也 具备 了 真实 的 Linux 系 
统 学 习 环 境 。 


但 服务 器 上 已 经 安装 了 Windows 2003， 而 且 要 保证 它 7X24 小 时 连续 运行 ， 
所 以 再 在 服务 器 上 安装 个 Linux 系 统 成 为 双 系 统 不 太 现实 。 所 以 后 来 就 想到 在 
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Windows 2003 中 安装 VMware 软件 ， 然 后 再 在 VMware 中 安装 Linux 系 统 ， 这 样 在 
不 影响 服务 器 对 外 提供 WEB 服 务 的 同时 ， 也 能 在 服务 器 上 学 习 Linux 系 统 ， 而 且 
这 样 也 提高 了 服务 器 的 硬件 资源 利用 率 。 


这 种 环境 的 搭建 ， 比 在 个 人 电脑 上 安装 Linux 系 统 要 好 很 多 ， 因 为 个 人 电脑 
毕竟 是 个 人 版 ， 各 方面 的 硬件 配置 不 能 和 服务 器 相 比 ， 而 且 Linux 系 统 本 身 作 为 
服务 器 操作 系统 使 用 的 占 多 数 ， 所 以 在 服务 器 上 搭建 Linux 学 习 环境 是 最 好 的 
选择 。 

这 种 环境 还 有 一 个 好 处 ， 就 是 只 要 在 有 网 络 和 Windows 系 统 的 地 方 ， 就 能 
很 方便 地 登录 到 服务 器 上 ， 进 入 到 Linux 系 统 的 学 习 环境 中 ， 熟 悉 各 种 命令 的 使 
用 。 首 先 ， 利 用 Windows 系 统 的 “远程 桌面 连接 ”功能 ， 如 图 7-1 所 示 ， 在 对 话 
框 中 输入 单位 联想 服务 器 的 IP 地 址 21.89.54.213， 单 击 “ 连 接 ”， 根 据 提示 输入 
用 户 名 和 密码 ， 就 能 远程 登录 到 联想 服务 器 上 的 Windows 2003 操 作 系统 上 ， 然 
后 再 在 Windows 系 统 中 运行 VMware， 然 后 在 VMware 中 再 打开 Linux 系 统 ， 本 例 
中 使 用 的 Linux 系 统 是 Red Hat Enterprise Linux 5， 然 后 就 可 以 正常 使 用 Linux 系 统 
了 ， 如 图 7-2 所 示 是 通过 远程 桌面 连接 ， 登 录 到 远程 Windows 2003 服 务 器 VMware 
中 的 Linux 操 作 系统 上 。 


计算 机 (c): BON 
用 户 名 : 。 二 指定 
当 您 笑 估 时 将 问 您 鹿 问 任 握 ~ 


图 业 页 人 


图 7-1 在 Windows 系 统 中 的 远程 桌面 连接 ”图 7-2 ”登录 到 远程 服务 器 VMware 中 的 Linux 系 统 


上 面 的 操作 ， 还 有 一 点 需要 注意 的 就 是 ， 首 先 要 在 联想 服务 器 上 的 Windows 
2003 中 开启 “人 允许 远程 桌面 的 计算 机 连接 到 本 系统 ”， 也 就 是 开启 允许 远程 桌面 
连接 的 功能 。 当 你 在 远程 想 关闭 这 种 Linux 的 学 习 环境 ， 只 要 直接 关闭 Windows 
2003 中 的 VMware 即 可 。 但 是 ， 在 关闭 时 ，VMware 会 显示 一 个 关闭 的 对 话 框 ， 如 
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图 7-3 所 示 ， 有 三 个 选项 “Suspend”“Power Off” 和 “Run in Background”， 选 
择 第 一 个 就 行 ， 它 意思 就 是 把 Linux 系 统 “ 挂 起 ”， 但 其 实 并 没有 关闭 系统 。 


[SApplications Places System ®@ 


(9 Some virtual machines are stil powered on. 


You can continue to run these virtual machines in the background, suspend them for 
later use, or power them off now, 


GE 
Power off 
Runin Background 


、 
es 
| [ll 


图 7-3 ”关闭 VMware Workstation 的 三 个 选项 


当下 次 再 远程 登录 到 Windows 2003 服 务 器 上 ， 想 学 习 Linux 命 令 时 ， 直 接 打 
开 VMware 即 可 ， 但 这 时 VMware 会 有 一 个 选择 打开 Linux 系 统 的 方式 ， 如 图 7-4 
所 示 。 这 时 应 选择 “Commands” 对 话 框 中 的 “Resume this virtual machine” 选 
项 。 这 样 就 会 马上 进入 Linux 系 统 中 ， 根 本 没有 启动 Linux 系 统一 连 串 的 过 程 。 就 
和 Windows 系 统 从 “待机 ”或 “休眠 ”状态 进入 到 系统 中 的 速度 一 样 快 。 若 在 上 
面 关闭 VMware 时 ， 选 择 的 是 “Run in Background” 的 选项 ， 则 下 次 打开 VMware 
时 ， 比 选择 “Suspend” 速 度 更 快 ， 立 刻 就 会 进入 了 Linux 系 统 。 但 选择 “Run in 
Background” 关 闭 VMware Workstation 后 ， 它 仍然 会 占用 非常 多 的 服务 器 硬件 
资源 ， 所 以 不 推荐 使 用 这 种 方式 关闭 。 除 非 是 关闭 后 ， 又 很 快 想 回 到 操作 系统 
的 界面 。 


而 且 这 种 学 习 模式 ， 在 VMware 中 的 Linux 系 统 中 进行 任何 的 操作 和 测试 ， 都 
不 会 影响 到 Windows 2003 系 统 上 的 WEB 应 用 ， 这 样 就 给 学 习 Linux 的 用 户 带 来 了 
极 大 的 自由 和 方便 ,不必 有 任何 的 顾忌 。 


可 能 有 的 人 觉得 在 远程 直接 登录 到 装 有 Linux 系 统 的 服务 器 上 不 就 行 了 吗 ? 
但 这 其 实 并 不 是 很 方便 ， 因 为 目前 的 个 人 用 户 大 部 分 使 用 的 都 是 Windows 系 统 ， 
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要 在 Windows 系 统 上 登录 到 远程 的 Linux 系 统 上 ， 不 仅 要 在 Windows 系 统 上 安装 专 
门 的 软件 ， 而 且 还 要 在 远 端的 Linux 服 务 器 上 进行 多 个 步骤 的 设置 才能 支持 这 个 
功能 。 这 种 模式 的 搭建 将 在 下 面 进行 详细 的 介绍 。 而 且 若 登 录 到 的 Linux 服 务 器 
上 ， 有 一 些 应 用 系统 正在 运行 的 话 ， 这 样 在 学 习 Linux 命 令 的 同时 ， 总 是 躁 手 中 
脚 不 敢 操作 ， 生 怕 影 响 到 了 服务 器 上 的 应 用 。 


加 | Red Hat Enterprise Linux 5 x 


Red Hat Enterprise Linux 5 

State; Suspended 

Guest O05: Red Hat Enterprise Linux 5 

Location: Fi\ 新 建文 件 夹 \WMware-32\Red Hat Enterprise Linux 5,vmx 
Version' Workstation 6,5-7,x virtual machine 


Commands Devices Options 
BD Resume this virtual machine | 站 Memory E 
入 Edit virtual machine settings | 戎 Processors 
Hard pisk(scsD) 


@ Enable acE features | ® cpioww (opE) 
| 


| 财 Network adapter 


图 7-4 快速 进入 到 Linux 系 统 的 操作 图 示 


若是 在 公司 找 一 个 服务 器 搭建 这 种 学 习 环 境 困难 的 话 ， 就 是 用 一 个 性 能 不 错 
的 台式 机 代替 服务 器 也 是 可 以 的 ， 只 要 能 保证 它 24 小 时 运转 就 行 。 按 照 上 面 的 步 
又 在 台式 机 上 先 安装 Windows 系 统 ， 再 装 VMware 和 Linux。 然 后 把 台式 机 挂 到 外 
网 上 ， 这 样 就 是 你 下 班 回 家 后 想 再 学 习 Linux， 可 以 通过 家 里 的 ADSL 远 程 登录 到 
单位 的 台式 机 上 ， 然 后 就 能 很 快 地 进入 到 Linux 的 学 习 环 境 中 ， 进 行 各 种 命令 的 
学 习 了 。 这 也 就 是 说 ， 只 要 在 有 网 络 和 电脑 的 地 方 ， 总 能 让 你 马上 登录 到 Linux 
系统 中 。 这 样 就 给 大 家 提供 了 很 大 的 便利 ， 节 省 了 时 间 提 高 了 效率 。 


2. 在 Windows 系 统 下 安装 Linux 系 统 ， 形 成 双 系统 


这 种 双 系统 的 模式 可 能 有 很 多 人 都 安装 过 ， 但 它 使 用 起 来 并 不 是 很 方便 。 因 
为 开机 后 ， 选 择 进入 了 其 中 一 个 操作 系统 的 话 ， 若 再 想 进 入 另外 一 个 系统 ， 就 得 
重新 启动 电脑 ， 不 方便 ， 也 浪费 时 间 。 不 过 它 也 是 一 种 建立 学 习 Linux 系 统 环境 
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的 方法 。 

Windows 和 Linux 双 系统 的 安装 方法 ， 在 网 上 有 很 多 ， 这 里 就 不 再 喝 晾 了 ， 
大 家 也 可 以 参考 “http://529462.blog.51cto.com/519462/622244” 来 进行 安装 。 它 
是 介绍 在 目前 普遍 使 用 的 Win 7 下 安装 Red Hat 6 的 详细 步骤 。 需 要 注意 的 是 : 

(]) 安 装 过 程 可 以 不 使 用 安装 光盘 ， 直 接 使 用 网 上 下 载 的 Linux ISO 就 可 以 。 

(2)EasyBCD 软 件 版 本 的 选择 最 好 和 介绍 的 使 用 一 样 ， 因 为 不 同 版 本 在 操作 
的 界面 和 操作 的 步骤 上 会 有 很 大 不 同 ， 为 了 达到 最 大 化 的 “傻瓜 ” 式 操 作 ， 还 是 
选择 EasyBCD 2.0 BEAT 版 本 比较 好 ， 这 样 在 安装 的 过 程 中 也 节省 了 你 的 时 间 。 


(3) 在 使 用 EasyBCD 软 件 的 过 程 中 ， 要 复制 粘贴 一 段 代码 ， 如 下 所 示 : 


title install linux 
root (hdo0,1) 
kernel (hd0,1)/isolinux/vmlinuz initrd 


(hd0,1) /isolinux/initrd.img 


代码 “(hd0,1)” 中 的 数字 的 选择 其 实 是 很 灵活 的 ， 不 一 定 非 要 是 括号 中 的 数 
字 ， 主 要 是 根据 自己 电脑 的 实际 配置 情况 选择 合适 的 数字 就 行 ， 可 以 多 试 几 次 ， 
肯定 能 选 到 正确 的 。 


3. 在 Windows 系 统 中 安装 VMware， 然 后 再 在 VMware 中 安装 Linux 系 统 


这 种 Linux 学 习 环境 的 搭建 其 实在 “1” 中 已 经 应 用 到 了 ， 安 装 过 程 和 第 
“2” 种 在 Windows 下 安装 Linux 系 统 的 过 程 大 同 小 异 ， 只 不 过 一 个 是 在 电脑 上 直 
接 安 装 ， 一 个 是 在 VMware 中 安装 。 


需要 注意 的 是 ， 如 果 是 在 Win 7 系统 下 的 VMWare 中 安装 Linux 的 话 ， 一 是 用 
ISO 映 像 不 是 很 好 安装 ， 最 好 直接 用 光盘 装 表 定 没 问 题 ， 二 是 若 安 装 的 是 Linux 
64 位 操作 系统 的 话 ， 要 在 电脑 的 BIOS 中 ， 开 启 支 持 64 位 功能 和 虚拟 技术 的 参 
数 ， 如 “Intel(R)Virtualization Technology”“Enable VT-d” 两 个 参数 。 
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We ca oem om ea em nop 

而 国 | 吾 疡 天 “加 百 回 安 | 癌 加 轩 | 各 名 

Applications Places System 命 
vmware-tools-distrib 


le Edit View Places Help 


bin doc etc installer 
eg me 
oOls-8.4. 
385536. 加 SOpen 
tar.gz INSTALL vm 
TS Open with "Emacs Text Editor” 
[BVMware Tools*|2 items, Fr... Open with Other Application... 
4 上 ee 上 
图 7-6 解压 光驱 中 的 压缩 文件 图 7-7 执行 “vmware-install.pl” 文 件 图 示 


(3) 安 装 完成 ， 重 新 启动 系统 后 ， 会 发 现 Linux 系 统 的 显示 屏 要 比 原来 的 大 
了 很 多 。 鼠 标 指针 也 可 以 在 Linux 和 Windows 系 统 之 间 平 滑 过 渡 ， 不 需 再 使 用 
Ctrl+Alt 组 合 键 了 。 


(4) 可 以 在 Windows 和 Linux 系 统 之 间 共 享 文件 夹 。 在 Windows 系 统 中 设置 共 

享 文件 夹 的 位 置 ， 是 在 VMware Workstation 上 配置 的 ， 在 菜单 栏 选择 “VM” 一 

“Settings” 一 “Options” 一 “Shared Folders”， 然 后 在 右边 单 击 Add 按 键 ， 选 择 

共享 文件 夹 在 Windows 系 统 中 的 目录 位 置 ， 如 图 7-8 所 示 。 然 后 ， 在 Linux 系 统 中 

进入 到 “/mnt/hgfs/Sharing” 目 录 下 ， 就 可 以 看 到 和 Windows 系 统 中 共享 文件 夹 中 
相同 的 内 容 ， 也 可 以 在 Linux 下 将 文件 拷贝 到 此 文件 夹 传 递 到 Windows 下 。 


Settings Summary Folder sharing 

大 General Red Hat 5.3 A Shared folders expose your files to programs in the 

BP virtual machine. This may put your computer and 
Your data at risk. Only enable shared folders if you 

El trust the virtual machine with your data. 

Snapshots a 

© 

OAutoProtect Disabled ed 

鞠 Replay Debugging enabled Da enabled 

昌 Guest Isolation Enabled, Enabled © Enabled until next power off or suspend 

量 Encoyption Not encrypted 

园 VMware Tools 。 pefaukt Folders 

ne Display Disabled i 

aAppliance View Disabled Bsharing EE\Red Hat 5.3\Sharing 回 


图 7-8 Windows 中 建立 共享 文件 夹 图 示 


(5) 默 认 情况 下 ， 虚 拟 Linux 系 统 的 网 络 模式 是 NAT 模 式 ， 这 种 情况 下 ， 在 
VM 中 虚拟 的 Linux 系 统 也 可 以 通过 Windows 系 统 的 主机 访问 到 互联 网 ， 但 前 提 是 


加 载 中 
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[root@localhost .vnc]# rpm -ivh vnc-4.1.2-14.e15.x86 64.rpm 


warning: vnc-4.1.2-14.e15.x86 64.rpm: Header V3 DSA 
signature: NOKEY, key ID 37017186 


Preparing . 。。 提 #### 提 提 提 拓 划 提 提 直 提 提 划 拓 # 划 拓 提 提 拓 划 提 提 提 提 # 划 提 提 划 提 井 提 提 划 提 井 井 井 井 [1OOS] 


package vnc-4.1.2-14.e15.x86 64 is already installed 


(3) 编 辑 “.vnc 目 录 ” 下 的 “xstartup 文 件 ”。 可 以 使 用 VI 编辑 器 进行 编辑 ， 
命令 为 “[root@localhost .vnc]#vi xstartup”， 打 开 “xstartup” 文 件 后 在 键盘 上 单 
击 “A” 字 母 键 ， 使 VI 编 辑 器 进入 编辑 状态 。 然 后 屏蔽 掉 最 后 一 行 ， 即 在 最 后 
一 行 的 前 面 加 上 符号 “#”， 变 成 “#twm 区 ”， 然 后 再 在 最 下 面 加 上 “gnome- 
session &”。 完 成 后 ， 单 击 “Esc” 键 ， 再 单 击 “: ” 键 ， 然 后 输入 “wq” 回 
车 ， 即 保存 退出 。 加 上 “gnome-session &” 是 为 了 能 够 在 Windows 系 统 上 显示 
Linux 的 桌面 ， 否 则 只 能 看 到 一 个 “终端 ”的 命令 行 窗口 。 


(4) 设 置 登录 用 户 。 如 果 上 面 的 安装 成 功 ， 在 目录 /etc/sysconfig/ 下 
会 有 一 个 vncservers 文 件 。 用 VI 编辑 器 编辑 vncservers 文 件 ， 在 最 后 加 上 
VNCSERVERS=“1:root”， 保 存 后 退出 。 


(5) 设 置 VNC 远 程 登录 密码 。 运 行 命令 “[root@localhost ~]# vncpasswd”， 
然后 按 提示 设置 好 远程 登录 的 密码 。 然 后 执行 命令 “[root@localhost 
一 ]#wncserver”， 会 有 如 下 显示 : 


New ‘localhost.localdomain:1 (root)’ desktop is localhost. 


localdomain:1 
Starting applications specified in /root/.vnc/xstartup 


Log file is /root/.vnc/localhost.localdomain:1.1o0og 


这 里 需要 注意 的 是 ， 上 面 的 输出 “localhostlocaldomain:1 (root)”， 说 明 在 
用 浏览 器 远程 登录 Linux 系 统 时 ， 在 浏览 器 地 址 栏 中 要 输入 的 地 址 为 “Linux 服 务 
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车 在 VNC Viewer 的 “Server” 地 址 栏 中 输入 的 人 P 地 址 后 面 所 接 的 端口 号 ， 不 
是 “localhostlocaldomain:1 (root)” 中 的 “1”， 而 是 写成 了 其 他 的 数字 ， 那 可 能 
只 能 进入 Linux 系 统 的 终端 命令 行 模式 ， 而 进入 不 到 图 形 化 的 桌面 模式 。 


5. 用 SSH 方 式 登录 到 远程 服务 器 的 Linux 系 统 中 


其 实 和 SSH 登 录 方 式 非常 相像 的 还 有 Telnet 登 录 ， 但 因为 Telnet 登 录 的 用 户 名 
和 密码 以 及 在 配置 管理 当中 所 使 用 的 Linux 命 令 都 是 以 明文 的 方式 传送 的 ， 没 有 
任何 的 安全 措施 ， 所 以 目前 它 基 本 上 已 经 被 SSH 的 登录 方式 所 取代 。SSH 服 务 在 
Linux 下 的 设置 非常 简单 。 下 面 就 简要 地 介绍 一 下 SSH 服 务 的 设置 与 登录 的 步 又， 


(DSSH 服 务 的 安装 状态 。 此 服务 默认 是 安装 的 ， 但 也 可 以 通过 以 下 命令 来 查 
询 在 Linux 系 统 中 是 否 安装 了 SSH 服 务 。 


[root@localhost ~]# rpm -qa | grep ssh 
openssh-clients-4.3p2-29.el5 
openssh-4.3p2-29.e15 
openssh-askpass-4.3p2-29.el5 


openssh-server-4.3p2-29.el15 


若 出 现 以 上 的 显示 结果 ， 则 表示 此 Linux 系 统 已 经 安装 了 SSH 服 务 。 输 出 内 
容 的 第 一 行 显示 的 是 SSH 的 客户 端 软件 包 ; 第 二 行 显示 的 是 SSH 的 核心 文件 ， 第 
三 行 表示 SSH 支 持 对 话 框 的 显示 ， 是 一 个 基于 X 系 统 的 密码 诊断 工具 ; 第 四 行 是 
SSH 的 服务 器 软件 包 。 

(2)SSH 服 务 的 运行 状态 。 此 服务 默认 也 是 自动 运行 的 ， 但 也 可 以 通过 以 下 命 
令 来 查询 SSH 服 务 的 运行 状态 。 


[root@localhost ~]#service sshd status 


openssh-daemon (pid 5340)is running... 


274| 网 络 运 维 亲历 记 


车 出 现 以 上 的 显示 结果 ， 则 表示 此 Linux 系 统 的 SSH 服 务 已 经 运行 。 其 中 ， 
“sshd” 是 SSH 服 务 的 守护 进程 名 称 。 若 SSH 服 务 没有 启动 的 话 ， 则 运行 命令 
[root@localhost ~ ]#service sshd restart 即 可 。 


(3) 用 SSH 进 行 远 程 登录 的 设置 。 若 是 在 Windows 系 统 中 没有 自 带 的 SSH 
客户 端 ， 可 以 在 网 上 下 载 支持 SS 了 远程 登录 的 图 形 化 工具 软件 ， 常 用 的 有 
SecureCRT、Putty 等 。 如 图 7-12 所 示 ， 是 用 SecureCRT 进 行 远 程 SSH 登 录 的 设置 。 
在 “Hostname” 中 输入 SSH 服 务 器 的 人 地址 ，“Port” 中 输入 22，“Usemame” 
中 输入 用 户 名 。 然 后 根据 提示 ， 输 入 密码 ， 就 可 以 连接 到 远程 的 SSH 服 务 器 。 若 
是 在 Linux 系 统 中 进行 远程 的 SSH 登 录 ， 就 可 以 在 Linux 的 终端 窗口 的 命令 提示 符 
下 ， 直 接 使 用 命令 #ssh 192.168.1.2 进 行 远程 登录 即 可 。 


[加 Password | 全 | Properties.,， 


同 publicke 
圆 这 Interactive Ba 
二 GSSAPI 


回 show quidk connect on startup [加 Save session 
回 openinatab 


图 7-12 用 SecureCRT 以 SSH 方 式 登录 的 参数 设置 


(4)SSH 的 配置 文件 。SSH 有 两 个 主要 的 配置 文件 ， 一 个 为 客户 端的 配置 文件 
ssh_config， 另 一 个 为 服务 器 端的 配置 文件 sshd_config。 这 两 个 配置 文件 都 位 于 目 
录 /etc/ssh 下。 用 VI 编辑 器 就 可 以 对 这 两 个 配置 文件 进行 详细 的 配置 和 修改 ， 以 便 
用 户 在 使 用 SSH 时 能 满足 一 些 特 殊 的 要 求 。 
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较 快 捷 的 方法 是 可 以 结合 使 用 EasyBCD 软 件 进行 Red Hat 系 统 的 安装 。 安 装 过 程 


(1) 安 装 过 程 可 以 不 使 用 安装 光盘 ， 直 接 使 用 Linux ISO 镜像 文件 就 可 以 ， 这 
种 方式 比较 方便 快捷 。 


(2) 在 使 用 EasyBCD 软 件 ， 安 装 Red Hat 的 过 程 中 ， 其 中 要 给 一 个 记事 本 文件 
中 ， 复 制 粘贴 一 段 代码 ， 如 下 所 示 : 


title install linux 
root (hd0r1) 
kernel (hd0,1)/isolinux/vmlinuz initrd 


(hd0,1)/isolinux/initrd.img 


其 中 ， 代 码 “(hd0,1)” 数 字 的 选择 其 实 是 很 灵活 的 ， 不 一 定 非 要 是 括号 中 的 
数字 ， 主 要 是 根据 自己 电脑 的 实际 配置 情况 选择 合适 的 数字 就 行 。 可 以 多 试 几 
次 ， 肯 定 能 选 到 正确 的 。 


2. 在 电脑 的 Win 7 系统 中 删除 RedHat 系 统 


在 Win 7 操作 系统 桌面 的 “计算 机 ”图 标 上 单 击 右键 ， 选 择 “ 管 理 ” 进 入 到 
“计算 机 管理 ”的 界面 中 ， 选 择 “存储 ”中 的 “磁盘 管理 ”。 然 后 在 右边 的 显示 
栏 中 就 可 以 直接 看 到 安装 了 Red Hat 操 作 系统 的 盘 符 ， 在 盘 符 上 单 击 右键 ， 选 择 
“格式 化 (FE)…” 直 接 对 安装 了 Red Hat 操 作 系统 的 分 区 ， 进 行 格式 化 。 格 式 化 完 
成 后 ， 也 就 把 电脑 上 的 Red Hat 操 作 系统 删除 了 。 


但 是 在 Win 7 操作 系统 中 ， 格 式 化 掉 Red Hat 系 统 所 在 的 分 区 后 。 每 次 重新 启 
动 电 脑 后 ， 首 先进 入 的 还 是 GNU GRUB 的 启动 管理 界面 ， 然 后 选择 是 进入 Red 
Hat 还 是 进入 Win 7 系统 ， 如 果 不 进行 选择 的 话 ， 它 默认 还 是 进入 了 Red Hat 系 统 
中 ， 如 图 7-13 所 示 。 所 以 ， 电 脑 在 默认 的 情况 下 ， 开 机 后 还 是 不 能 自动 进入 到 
Win 7 系统 中 。 这 是 因为 ， 在 电脑 上 安装 了 Win 7 操作 系统 后 ， 再 安装 Red Hat 系 
统 ， 会 修改 电脑 上 的 主 引导 记录 (Master Boot Record，MBR)， 它 又 叫做 主 引导 扇 
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区 ， 是 计算 机 开机 后 访问 硬盘 时 所 必须 要 读 取 的 首 个 扇 区 。 


GNU GRUB version 8.97 (638K lower 7 


Red Hat Enterprise Linux Seru 
HIN7 


图 7-13 ”GRUB 中 选择 进入 操作 系统 的 界面 


MBR 记 录 着 硬盘 本 身 的 相关 信息 以 及 硬盘 各 个 分 区 的 大 小 及 位 置信 息 ， 是 
数据 信息 的 重要 入 口 。 如 果 它 受到 破坏 ,硬盘 上 的 基本 数据 结构 信息 将 会 丢失 ， 
需要 用 繁琐 的 方式 试探 性 地 重建 数据 结构 信息 后 才 可 能 重新 访问 原先 的 数据 。 主 
引导 扇 区 内 的 信息 是 通过 FDISK 写 入 的 ， 它 是 低级 格式 化 的 产物 ， 和 操作 系统 没 
有 任何 关系 。 因 为 操作 系统 是 创建 在 高 级 格式 化 的 硬盘 分 区 之 上 ， 是 和 一 定 的 文 
件 系统 相 联系 的 。 


3. 恢复 电脑 上 Win 7 单 系统 的 启动 模式 


要 想 重新 启动 电脑 直接 就 能 进入 Win 7 操作 系统 ， 就 必须 重新 改写 电脑 硬盘 
上 的 MBR 记 录 。 电 脑 一 般 是 在 硬盘 中 划 出 几 到 几 十 兆 的 空间 存放 MBR 记 录 ， 
如 图 7-14 所 示 。 在 H 盘 的 后 面 有 一 个 9M 的 未 分 配 的 空间 ， 这 里 其 实 存 放 的 就 是 
MBR 记 录 。 进 入 到 “计算 机 管理 ”中 ， 在 “9M 未 分 配 ” 上 点 击 右键 ， 选 择 “ 属 
性 ”， 进 入 到 “ 卷 ” 中 ， 就 可 以 看 到 “磁盘 分 区 形式 : 主 启动 记录 (MBR)”， 如 
图 7-15 所 示 。 


新 加 卷 (E:) (F:) (G:) (H;) 
97.65 GB NTFS 48.83 GB NTFS 48.83 GB NTFS 88.12 GB NTFS 
状态 良好 ( 远 辐 驱动 器 | 状态 良好 ( 运 辑 驱动 各 “状态 良好 ( 远 辐 驱动 器 “状态 良好 ( 远 辐 驱动 器 


图 7-14 MBR 位 于 硬盘 中 位 置 的 图 示 
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置 ”， 出 现 如 图 7-16 所 示 的 对 话 框 。 在 “默认 操作 系统 (S)” 中 ， 选 择 以 前 的 操作 
系统 “Windows 7”， 单 击 “ 确 定 ” 按 钮 。 这 样 以 后 在 重新 启动 电脑 时 ， 就 可 以 
自动 的 进入 到 以 前 的 Win 7 操作 系统 了 ， 不 再 有 选择 要 进入 到 哪个 操作 系统 的 界 
面 ， 也 不 会 有 如 图 7-13 所 示 的 GRUB 选 择 图 示 。 这 样 既 方便 了 用 户 快捷 的 登录 到 
电脑 的 操作 系统 中 ， 也 节省 了 开机 的 时 间 。 


系统 启动 
默认 操作 系统 (S) : 
Windovs 7 


了 显示 操作 系统 列表 的 时 间 (T) : 
在 需要 时 显示 恢复 选项 的 时 间 (D) : 


系统 失败 

到 将 事件 写 入 系统 日 志 (W) 
加 自动 重新 启动 (R) 

写 入 调试 信息 

[ 核 上 内 存 转 储 

转 储 文件 : 
%SystenRoot%\MENORY. DIIP 
团 覆盖 任 何 现 有 文件 (0) 


图 7-16 选择 默认 启动 的 操作 系统 图 示 


4. 总结 


(1) 一 般 电 脑 在 加 电 后， 首先 启动 的 是 BIOS 程 序 ，BIOS 自 检 完 成 后 ， 找 到 硬 
盘 上 的 主 引导 记录 MBR，MBR 读 取 DPT 分 区 表 ， 从 中 找 出 活动 的 主 分 区 ， 然 后 
读 取 活动 主 分 区 的 PBR，PBR 再 搜寻 分 区 内 的 启动 管理 器 文件 BOOTMGR， 在 
BOOTMGR 被 找到 后 ， 控 制 权 就 交 给 了 BOOTMGR。BOOTMGR 读 取 \boot\bcd 文 
件 。 其 中 ，Win 7 下 的 BCD(Boot Configuration Data， 启 动 配置 数据 ) 文 件 就 相当 
于 Windows XP 下 的 boot.ini 文 件 ， 如 果 存 在 着 多 个 操作 系统 ， 并 且 选 择 操 作 系 统 
的 等 待 时 间 不 为 0 的 话 ， 这 时 就 会 在 显示 器 上 显示 操作 系统 的 选择 界面 。 在 选择 启 
动 Win 7 操作 系统 后 ，BOOTMGR 就 会 去 启动 盘 寻 找 WINDOWS\system32\winload. 
exe， 然 后 通过 winload.exe 加 载 Win 7 内 核 ， 从 而 启动 整个 Win 7 操作 系统 。 
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对 应 的 。VLAN 中 的 PC 都 是 通过 Cisco3560 接 入 到 网 络 中 ，3560 都 是 二 层 配置 ， 
三 层 的 配置 都 在 Cisco4507 上 ， 也 就 是 VLAN 间 的 路 由 都 是 通过 4507 完 成 的 。PC 
的 JP 地址 、 默 认 网 关 和 DNS 都 是 自动 从 DHCP 服 务 器 上 获得 的 ， 不 用 手工 静态 
配置 。 


用 户 组 用 户 组 
图 7-17 网络 结 构图 


7.3.2 ”故障 发 生 过 程 


公司 流 媒体 服务 器 位 于 VLAN 2 中 ，IP 地 址 为 192.168.2.8/24。 网 络 中 有 权限 
的 用 户 可 以 进入 到 服务 器 中 下 载 、 上 传 和 编辑 一 些 视频 剪辑 。 一 天 早上 ， 业 务 网 
VLAN 12 中 的 很 多 用 户 反映 他 们 部 门 的 人 员 都 不 能 访问 流 媒体 服务 器 ， 也 不 能 进 
入 服务 器 中 流 媒体 应 用 系统 的 Web 界 面 。 


但 是 VLAN 12 中 的 用 户 访问 其 他 VLAN 中 服务 器 上 的 应 用 ， 都 很 正常 ， 如 都 
能 正常 访问 VLAN 10 中 的 WEB 服 务 器 。 而 且 办 公 网 和 业务 网 中 除了 VLAN 12， 
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其 他 VLAN 中 的 用 户 都 能 正常 访问 流 媒体 服务 器 ， 也 就 是 只 有 VLAN 12 中 的 用 户 
访问 不 了 。 因 为 流 媒体 应 用 是 单位 业务 中 一 项 很 重要 的 应 用 ， 若 长 时 间 不 能 用 的 
话 ， 可 能 会 影响 到 公司 业务 正常 运转 ， 所 以 必须 尽快 排除 故障 。 


7.3.3 运用 BSM 排 查 故障 步骤 


1. 故障 信息 收集 


通过 对 故障 现象 的 分 析 ， 确 定 了 故障 的 大 概 示 意图 ， 如 图 7-18 所 示 。 不 能 访 
问 流 媒体 服务 器 的 用 户 卫 地址 的 网 络 号 都 是 192.168.12.0/24。 他 们 访问 流 媒体 服 
务 器 的 路 径 先是 到 Cisco3560， 通 过 Cisco4507， 最 后 到 达 服 务 器 。 


流 媒 体 Server 
192.168.2.8/24 


VLAN 12 用 户 
192.168.12.0/24 


图 7-18 存在 故障 的 网 络 示意 图 
2. 客户 端 异 常情 况 


我 们 到 不 能 访问 流 媒 体 应 用 的 部 门 ， 查 看 了 用 户 的 PC， 发 现 电脑 上 的 IP 
地 址 、 默 认 网 关 、DNS 都 是 正确 的 。 然 后 我 们 在 用 户 电 脑 的 “命令 行 ”中 执行 
“ping 192.168.2.8” 命 令 ， 结 果 ping 不 通 。 然 后 又 执行 了 ping VLAN 12 网 关 地 址 
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的 命令 “ping 192.168.12.254”， 发 现 能 ping 通 。 为 了 确定 出 具体 的 故障 部 位 ， 又 
在 “命令 行 ” 中 执行 了 “tracert 192.168.2.8” 命 令 ， 显 示 的 结果 如 下 所 示 : 


CoM >Eraceort 9236680258 

Tracing route to 192.168.2.8 over a maximum of 30 hops 
HL <1 ms <1 ms <1 ms 192.168.12.254 

这 为 Request timed out. 


3 过 为 Request timed out. 


从 上 面 的 结果 可 以 看 出 ， 用 户 访问 流 媒 体 服务 器 时 ， 数 据 包 只 能 到 达 
192.168.12.254， 再 往 下 路 径 就 发 生 了 故障 ， 不 能 到 达 目 的 地 。 从 前 面 的 介绍 
知道 Cisco3560 上 是 没有 IP 地 址 配置 的 ， 它 们 都 是 作为 二 层 交 换 机 接 入 到 网 络 中 
的 ， 所 有 三 层 的 地 址 都 是 在 Cisco4507 上 配置 的 。 也 就 是 用 户 访 问 流 媒体 服务 器 
的 数据 能 到 达 4507， 然 后 再 往 下 就 不 知道 哪 出 现 了 故障 。 可 能 是 流 媒 体 服务 器 故 
障 ， 也 可 能 是 连接 流 媒体 服务 器 和 核心 交换 机 4507 之 间 的 链 路 发 生 了 故障 。 


3. 运用 BSM 排 查 故障 


从 上 面 的 分 析 可 以 看 出 ， 故 障 很 可 能 是 流 媒体 服务 器 引起 的 。 因 为 公司 部 署 
了 BSM(Business Service Management， 业 务 服务 管理 )， 它 能 对 公司 所 有 的 网 络 设 
备 、 服 务 器 及 业务 应 用 系统 的 运行 情况 进行 实时 监控 ， 所 以 通过 使 用 “BSM 业 
务 服 务 管理 ”能 够 更 快 地 查找 出 故障 原因 。 


登录 到 BSM 后 ， 在 “网 络 和 服务 器 ”拓扑 图 中 的 “ 流 媒 体 服务 器 ”图 标 上 
单 击 右键 ， 就 会 出 现 如 图 7-19 所 示 的 选择 菜单 。 在 菜单 中 选择 “接口 一 览 ”， 就 
会 出 现 如 图 7-20 所 示 的 显示 界面 。 


在 图 7-20 中 能 够 显示 出 “ 流 媒体 服务 器 ”上 所 有 网 络 接口 的 主要 情况 ， 包 
括 接口 的 人 P 地 址 、 每 个 接口 上 的 接收 速率 和 发 送 速率 。 从 图 7-20 中 可 以 看 出 “ 流 
媒体 服务 器 ”上 共有 两 个 接口 在 传输 数据 ， 即 eth0O 和 eth2。 其 中 eth0 的 IP 地 址 为 
192.168.2.8， 这 个 地 址 是 单位 用 户 访问 流 媒 体 服 务 器 正常 使 用 的 IP 地 址 。 但 在 服 


加 载 中 
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加 载 中 


请 耐心 等 待 或 者 刷新 重 试 
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7.3.4 ”结束 语 


(1) 作 为 IT 运 维和 人 员 ， 在 工作 中 仅仅 做 好 单 台 设备 或 单个 应 用 的 维护 工作 ， 
已 远 远 达 不 到 全 局 保障 单位 IT 系 统 正常 运行 的 要 求 。 而 IT 运 维 管理 自动 化 技术 
的 应 用 将 会 大 大 提高 运 维和 人 员 的 工作 效率 。 目 前 广泛 使 用 的 BMC Performance 
Manager 和 Mocha BSM 产 品 都 为 企业 的 基础 结构 和 关键 业务 应 用 提供 了 以 业务 为 
中 心 的 智能 化 管理 解决 方案 。 


BMC Performance Manager 解 决 方案 允许 用 户 对 网 络 系统 和 众多 的 应 用 程 
序 、 数 据 库 、 操 作 系统 和 分 布 式 系统 环境 的 可 用 性 、 性 能 和 业务 影响 进行 监控 和 
管理 。 通 用 的 显示 视图 可 以 使 IT 管理 员 一 览 整体 资源 状态 以 及 IT 组 件 、 应 用 服务 
对 业务 的 影响 。 


BMC Performance Manager 结 合 了 无 代理 和 基于 代理 的 管理 技术 ， 简 化 了 系 
统 的 安装 与 部 署 ， 主 要 面向 对 业务 监控 能 力 要 求 较 高 和 对 数据 库 监控 能 力 要 求 严 
格 的 用 户 。 采 用 基于 策略 的 部 署 机 制 ， 可 自动 根据 用 户 的 环境 和 需求 采用 适当 的 
管理 技术 。 

(2) 通 常 在 计算 机 网 卡 、 交 换 机 和 路 由 器 的 端口 上 都 能 配置 两 个 或 多 个 IP 地 
址 ， 在 前 两 者 上 的 主要 作用 是 为 了 实现 连接 在 同一 局 域 网 上 不 同 网 段 之 间 的 通 
信 。 一 般 由 于 一 个 网 段 中 所 包含 的 卫 地 址 对 于 用 户 来 说 不 够 用 ， 就 可 以 采用 配置 
多 个 了 地 址 的 办 法 来 扩大 接 入 到 局 域 网 中 用 户 的 数量 。 而 在 路 由 器 的 端口 上 配置 
两 个 或 多 个 下 地 址 主要 是 实现 连 在 同一 路 由 器 端口 的 不 同 网 段 的 通信 ， 但 这 时 要 
注意 启用 端口 上 的 了 P 重 定向 功能 ， 因 为 一 般 路 由 器 不 允许 从 同一 端口 进来 的 IP 数 
据 包 又 发 回 到 原 端口 中 。 启 用 了 重 定向 功能 ， 就 允许 在 同一 端口 进入 路 由 器 的 人 P 
数据 包 由 原 端口 再 发 送 回 去 。 但 是 在 计算 机 网 卡 、 交 换 机 和 路 由 器 的 端口 上 配置 
多 个 IP 地 址 常常 会 给 网 络 带 来 意 想 不 到 的 故障 ， 所 以 一 般 没有 特殊 需求 ， 不 要 在 
同一 端口 上 配置 多 个 人 P 地 址 。 

(3) 这 次 公司 流 媒体 服务 器 的 故障 也 是 因为 在 故障 的 前 一 天 晚上 ， 负 责 流 媒 
体 应 用 系统 软件 开发 的 厂商 在 公司 调试 软件 ， 因 为 软件 测试 的 需要 ， 要 在 流 媒 体 
服务 器 的 网 卡 上 临时 再 配置 一 个 IP 地 址 ， 技 术 人 员 就 随便 配置 了 192.168.12.18 这 
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个 地 址 。 测 试 完 成 后 ， 技 术 人 员 离 开 公 司 时 忘 了 把 这 个 耳 地 址 删除 ， 结 果 就 导致 
了 第 二 天 早上 的 网 络 故障 。 


按照 公司 的 规定 ， 对 机 房 服务 器 上 每 一 步 重要 的 操作 ， 都 要 记录 在 服务 器 日 
志 登 记 本 上 。 完 成 操作 后 ， 要 逐 项 查看 登记 本 ， 是 否 把 服务 器 恢复 到 了 初始 的 正 
常 状 态 。 但 因为 双方 的 技术 人 员 都 没有 严格 执行 机 房管 理 规定 ， 从 而 造成 了 意外 
的 疏 漏 。 看 来 IT 运 维 无 小 事 ， 必 须 从 点 滴 做 起 ， 从 我 做 起 。 


7.4” 运 维 实例 : BSM 在 企业 IT 运 维 中 的 应 用 研究 


目前 ， 在 绝 大 多 数 公司 和 企业 中 ，IT 运 维 人 员 的 地 位 和 作用 越 来 越 受到 重 
视 。 但 是 ， 受 重视 并 不 代表 IT 运 维 人 员 的 工作 量 和 工作 难度 有 所 降低 。 相 反 ， 随 
着 信息 化 、 网 络 化 的 迅速 发 展 ， 应 用 系统 的 数量 不 断 增多 ， 运 维 人 员 的 劳动 负荷 
也 不 断 增 大 。 但 通常 他 们 所 做 的 工作 都 是 一 些 重复 、 简 单 、 繁 杂 的 工作 ， 效 率 低 
下 。 所 使 用 的 监控 工具 配备 不 完善 ， 没 有 中 间 件 、 数 据 库 和 语音 系统 ， 也 没有 集 
中 的 事件 管理 平台 ， 通 常 对 故障 不 能 及 时 发 现 和 定位 。 


7.4.1 BSM 基 本 功能 


业务 服务 管理 (BSM，Business Service Management) 的 使 用 可 以 极 大 地 减轻 IT 
运 维 人 员 的 工作 量 ， 并 提高 了 工作 效率 。BSM 是 IT 与 业务 管理 手段 的 一 种 整合 与 
互补 。 它 以 ITIL 为 理论 基础 ， 实 现 IT 管理 与 业务 服务 的 融合 。 能 够 从 不 同 监控 系 
统 整合 出 需要 的 IT 营运 信息 ， 从 而 给 企业 带 来 IT 服务 方面 的 优势 ， 进 一 步 增强 了 
企业 竞争 力 。 


从 图 7-23 中 可 以 看 出 BSM 所 具备 的 基本 功能 ， 主 要 包括 6 个 方面 : 整合 、 用 
户 体验 响应 时 间 管 理 、 全 方位 管理 、 无 线 运 维 、 可 视 化 管理 和 网 络 拓扑 。 运 维 人 
员 通 过 这 6 个 功能 ， 就 能 在 日 常 工作 中 做 到 可 视 化 、 全 方位 管理 ， 把 故障 消除 在 
预防 阶段 ， 做 到 随时 随地 地 了 解 设备 运行 情况 等 。 
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图 7-24 ”网络 拓扑 图 


而 且 ， 直 接 在 拓扑 图 的 设备 图 标 上 单 击 右键 ， 在 出 现 的 菜单 中 可 以 选择 相应 
的 网 络 检测 工具 ， 如 “Ping” 和 “Telnet” 工 具 ， 通 过 使 用 检测 工具 能 够 更 准确 
地 定位 故障 的 部 位 和 查找 故障 的 原因 。 


2. 网 络 设备 详情 

通过 查看 网 络 设备 详情 ， 可 以 看 到 设备 目前 的 常规 信息 : 设备 类 型 、IP 地 
址 、 持 续 运 行 的 时 间 和 资源 总 体 状态 等 。 在 常规 信息 中 还 可 以 看 得 到 设备 的 维护 
信息 (包括 责任 人 、 责 任 人 的 联系 电话 和 电子 邮件 )、 设 备 备 注 情 况 、 设 备 的 CPU 
和 内 存 使 用 情况 等 ， 如 图 7-25 所 示 。 
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图 7-25 ”网络 设备 详情 


在 网 络 设备 详情 中 ， 还 可 以 看 到 网 络 设备 的 每 一 个 接口 的 实时 速率 、 接 口 状 
态 是 否 良好 、 故 障 接口 的 图 标 颜 色 会 变 成 红色 进行 报警 、 良 好 的 接口 会 以 绿色 显 
示 以 及 每 个 接口 到 目前 为 止 的 数据 流量 是 多 少 。 网 络 设 备 详情 中 还 可 以 展现 当前 
网 络 设备 所 有 被 监控 的 接口 流量 信息 ， 并 对 单个 接口 的 流量 以 及 多 个 接口 对 比 
的 流量 做 实时 分 析 ， 能 够 更 全 面 和 深入 地 了 解 到 网 络 设备 和 每 一 个 端口 的 使 用 
情况 。 


3. 主机 系统 详情 


在 主机 系统 详情 中 的 常规 信息 中 可 以 看 到 主机 信息 、 可 用 性 统计 、 资 源 状 
态 、 状 态 一 览 、 维 护 信 息 及 CPU、 内 存 、 硬 盘 等 信息 的 情况 ， 如 图 7-26 所 示 。 


常规 信息 中 的 “使 用 的 策略 ”是 显示 主机 当前 使 用 的 策略 名 称 。 由 系统 管 
理 员 在 “策略 管理 ”中 设置 。 在 策略 中 需要 设置 该 主机 监控 的 指标 、 指 标 阔 值 、 
监控 频 度 、 事 件 、 报 警 等 参数 ，“ 用 户 域 ”显示 主机 所 属 的 所 有 用 户 域 ; “响应 
时 间 ” 可 以 单 击 ping 按钮 ， 获 取 主 机 的 响应 速度 ，“Telnet” 单 击 Telnet 按钮 ， 
出 现 命令 窗口 ， 本 地 主机 将 与 远程 主机 建立 连接 。 使 用 Telnet 协议 进行 远程 登录 
时 ， 在 本 地 计算 机 上 必须 装 有 包含 Telnet 协议 的 客户 程序 ， 必 须知 道 远程 主机 的 
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IP 地 址 或 域名 ， 必 须知 道 登 录 标 识 与 口令 ， “网络 链 接 ” 单 击 Netstat 按钮 ， 可 
以 打开 主机 上 的 端口 列表 情况 ; “主机 说 明 ” 是 由 系统 自动 获取 的 主机 说 明 
信息 。 
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图 7-26 主机 系统 详情 


常规 信息 中 的 “可 用 性 统计 ”是 按时 间 段 统计 主机 的 可 用 性 比率 ; “资源 状 
态 ” 是 对 所 有 资源 的 状态 进行 说 明 ; “维护 信息 ”是 由 系统 管理 员 在 系统 管理 的 
资源 中 进行 设置 显示 的 ，“ 信 息 一 览 ” 展 示 CPU、 内 存 、 硬 盘 的 信息 ， 只 有 在 策 
略 中 配置 了 监控 CPU、 内 存 、 硬 盘 的 相关 指标 ， 这 里 才 会 显示 。“CPU 信息 ” 
显示 了 CPU 型 号 、 主 频 、CPU 平 均 利用 率 。“ 内 存 信息 ”显示 了 内 存 总 容量 、 内 
存 平 均 利用 率 。“ 分 区 信息 ”显示 了 分 区 总 容量 、 各 分 区 容量 和 利用 率 。 


4. 主机 进程 管理 


主机 进程 管理 可 以 看 到 当前 主机 上 运行 的 所 有 进程 及 进程 的 详细 信息 ， 也 可 
以 大 概 看 出 主机 上 是 否 有 木马 、 流 氓 软件 、 广 告 软件 等 在 运行 。 因 为 一 个 运行 的 
程序 是 否 正常 ， 主 要 看 它 对 应 的 是 正常 的 程序 文件 ， 还 是 恶意 木马 。 从 对 应 文件 
目录 或 者 文件 名 上 可 以 分 析出 这 个 程序 的 主要 作用 ， 而 对 于 不 熟悉 的 文件 ， 可 以 
通过 查询 资料 了 解 它 是 否 是 正常 程序 。 例 如 在 Windows 系 统 中 的 WINDOWS 目 录 
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状况 ， 通 过 输入 卫 地 址 或 者 资源 名 称 ， 定 位 到 需要 查看 的 资源 ， 并 且 搜索 功能 支 
持 模 糊 查询 。 如 图 7-28 所 示 。 
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图 7-28 ”资源 监控 管理 


(1) 按 资源 类 型 查询 资源 状态 。 可 以 从 两 种 角度 查看 资源 的 总 体 情况 : 按 可 
用 性 与 性 能 状态 展现 或 者 按 配置 变更 状态 展现 。 按 可 用 性 和 性 能 状态 展现 ， 只 关 
心 资源 的 可 用 性 和 性 能 状态 ， 不 关心 资源 的 配置 变更 ， 按 配置 变更 状态 展现 ， 只 
关心 资源 的 配置 变更 状态 ， 不 关心 资源 的 可 用 性 和 性 能 状态 。 


资源 类 型 包括 主机 、 网 络 设备 和 应 用 。 将 鼠标 放 到 人 饼 图 某 一 颜色 的 区 域 上 ， 
会 显示 提示 信息 。 单 击 资源 名 称 可 以 进入 资源 详细 信息 页 面 ; 单 击 资源 名 称 前 的 
状态 灯 可 进入 状态 信息 页 面 。 


(2) 按 资源 组 查询 资源 状态 。 左 侧 导 航 区 域 中 会 列 出 所 有 资源 组 的 名 称 。 单 
击 资 源 组 名 称 ， 右 边 信息 展示 区 会 显示 相应 的 资源 ;以 饼 图 的 方式 展示 资源 组 中 
被 监控 资源 的 总 体 状况 。 

(3) 按 资源 状态 查询 资源 。 以 资源 的 5 种 可 用 性 、 性 能 、 配 置 状 态 为 单位 ， 显 
示 这 5 种 状态 的 资源 的 状况 。 单 击 左 侧 导 航 区 域 中 的 “ 按 资源 状态 ” 即 可 。 


将 鼠标 放 到 饼 图 某 一 颜色 的 区 域 上 ， 会 显示 提示 信息 ; 饼 图 下 方 ， 显 示 处 于 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


第 7 章 ”应 用 系统 1295 


相对 BSM 要 简单 许多 ， 所 以 对 IT 运 维 人 员 进 行 培训 也 是 必 不 可 少 的 。 


培训 主要 包括 三 方面 内 容 的 培训 : 一 是 管理 人 员 的 培训 ， 主 要 是 BSM 监 控 
系统 的 使 用 方法 和 注意 事项 及 当 BSM 发 出 故障 报警 时 的 事件 处 理 流程 。 二 是 网 
络 部 门人 员 的 培训 ， 包 括 网 络 拓扑 图 建立 、 修 改 和 删除 的 方法 步骤 和 在 交换 机 、 
路 由 器 等 网 络 设备 上 配置 参数 的 方法 。 三 是 主机 应 用 系统 人 员 的 培训 。 包 括 在 
BSM 中 添加 服务 器 的 方法 和 步骤 及 在 不 同 操作 系统 Windows、Linux、Unix 和 
Solaris 中 配置 参数 的 方法 。 


7.5.1 BSM 在 企业 中 应 用 后 的 效果 


BSM 在 企业 中 的 部 署 应 用 ， 不 仅 减 轻 了 IT 运 维和 人员 的 工作 量 ， 也 提高 了 业务 
部 门人 员 的 工作 效率 。 它 给 企业 带 来 的 增值 效益 主要 体现 在 以 下 几 方 面 : 


一 是 BSM 的 短信 、 邮 件 报警 机 制 缩短 了 IT 运 维和 人 员 排 除 故障 的 时 间 。 因 为 在 
没有 部 署 BSM 之 前 ，IT 运 维和 人 员 得 到 设备 故障 的 反馈 信息 ， 大 多 数 都 是 从 使 用 应 
用 系统 的 工作 人 员 那 里 得 到 的 。 例 如 ， 从 用 户 那 里 反映 过 来 的 网 络 故 障 ， 某 个 应 
用 系统 不 能 使 用 等 。IT 运 维和 人 员 在 得 到 用 户 的 反馈 后 才 去 排查 、 定 位 故障 发 生 的 
部 位 。 但 是 部 署 了 BSM 的 短信 、 邮 件 报警 机 制 后 ， 设 备 或 应 用 系统 出 现 故 障 的 
第 一 时 间 ，IT 运 维和 人 员 就 能 通过 短信 或 邮件 得 到 故障 的 信息 和 故障 的 部 位 ， 这 就 
在 很 大 程度 上 提高 了 IT 运 维 效率 。 


二 是 全 局 监控 网 络 和 应 用 系统 ， 快 速 准备 定位 故障 部 位 。 在 没有 部 署 BSM 
前 ， 企 业 的 网 络 和 应 用 系统 监控 是 隔离 开 的 ， 各 监控 各 的 。 部 署 BSM 后 ， 可 以 
把 二 者 的 监控 紧密 结合 起 来 。 也 就 是 在 拓扑 图 中 ， 既 有 网 络 设备 ， 又 有 应 用 系统 
的 服务 器 设备 。 这 种 机 制 能 够 快速 定位 故障 发 生 的 部 位 。 例 如 ， 当 有 用 户 反映 某 
一 应 用 系统 不 能 正常 使 用 时 ，IT 运 维 人 员 只 需 通过 拓扑 图 ， 查 看 是 应 用 系统 服务 
器 故障 ， 还 是 服务 器 连接 的 网 络 设备 故障 ， 若 有 故障 ， 这 些 设备 在 拓扑 图 中 的 图 
标 颜色 都 会 变 成 红色 ， 所 以 很 快 就 能 定位 到 故障 发 生 的 位 置 。 

三 是 提前 预警 机 制 ， 把 隐患 消除 在 了 萌芽 阶段 。IT 运 维 人 员 可 以 对 设备 的 某 
一 参数 设置 一 个 闪 值 ， 当 设备 的 某 些 数据 达到 这 一 闪 值 时 ， 但 设备 还 没有 故障 之 
前 ，BSM 会 自动 给 运 维 人 员 进 行 报警 。 这 样 IT 运 维 人 员 就 有 足够 的 时 间 对 设备 
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进行 维护 和 排除 故障 ， 这 一 过 程 不 会 对 正常 使 用 业务 应 用 系统 的 用 户 造成 任何 
影响 。 


7.5.2 总结 


虚拟 化 和 云 计算 已 是 目前 绝 大 多 数 企业 在 进行 信息 化 建设 时 的 首选 。 但 是 二 
者 的 深入 应 用 都 离 不 开 IT 基础 设施 的 保驾 护航 。 所 以 ， 担 负 IT 基 础 设施 监控 管理 
的 BSM 就 越发 显得 责任 重大 。 虚 拟 化 和 云 计 算 的 广泛 应 用 ， 进 一 步 把 企业 信息 
化 系统 中 的 软 、 硬 件 紧密 结合 起 来 。 因 为 在 一 台 服务 器 中 可 能 会 虚拟 出 多 个 应 用 
系统 ， 这 些 应 用 系统 间 有 的 有 数据 交互 ， 有 的 没有 ， 这 种 模式 和 传统 的 应 用 模式 
已 大 大 不 同 。 在 这 种 情况 下 就 更 需要 企业 部 署 BSM 系 统 ， 以 便 全 局 监控 管理 企 
业 信 息 化 中 的 每 一 个 细节 。 所 以 ，BSM 系 统 也 越 来 越 成 为 企业 信息 化 建设 中 不 
可 缺少 的 重要 一 员 。 
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Cisco3750 (config-if)#switchport mode access 

// 把 cisco3750 端 口 Gi1/0/1 划 入 到 VLAN 21 

Cisco3750 (config)#interface GigabitEthernet1/0/9 
Cisco3750 (config-if)#switchport access VLAN 31 
Cisco3750 (config-if)#switchport mode access 


// 把 cisco3750 端 口 Gi1/0/1 划 入 到 VLAN 31 


Cisco3750 上 启用 了 三 层 路 由 功能 ， 这 样 不 同 VLAN 中 的 数据 终端 要 相互 
通信 的 话 必须 经 过 3750 路 由 后 ， 数 据 才 能 传输 到 目的 地 。 例 如 ， 图 8-1 中 位 于 
VLAN 21 中 的 PC 1 要 访问 VLAN 31 中 的 PC 2， 那 PC 1 发 出 的 数据 包 就 先 要 到 达 
Cisco3750 的 三 层 VLAN 21 端 口 ， 然 后 3750 查 找 它 的 路 由 表 ， 发 现 数据 包 的 目的 
地 址 是 要 到 达 VLAN 31， 根 据 路 由 表 中 的 下 一 条 地 址 ， 它 就 把 数据 包 发 送 到 3750 
上 的 三 层 VLAN 31 端 口 ， 最 后 到 达 目的 终端 。 


3) 问 题 发 生 过 程 


其 实 ， 从 事 网 络 工作 的 同志 对 图 8-1 的 网 络 结构 和 在 交换 机 上 所 做 的 配置 命 
令 都 是 很 常见 的 情况 ， 也 是 网 络 配置 中 最 基础 的 。 所 以 当 自 己 在 这 种 网 络 结构 
中 碰 到 ping 故 障 时 觉得 非常 奇怪 ， 因 为 觉得 不 应 该 有 这 种 故障 情况 。 也 就 是 在 图 
8-1 中 PC 2 能 ping 通 PC 1， 但 是 PC 1 不 能 ping 通 PC 2。 


数据 包 从 PC 1 发 出 ， 最 终 到 达 PC 2 的 路 线 也 非常 简单 ， 首 先是 从 PC 1 的 网 卡 
把 数据 包 发 出 ， 数 据 包 到 达 VLAN 21 的 三 层 口上 ， 然 后 Cisco3750 再 把 数据 包 交 
给 VLAN 31 的 三 层 口 ， 最 后 一 步 就 是 VLAN 31 三 层 口 把 数据 包 传输 给 都 位 于 同 
一 个 二 层 VLAN 31 的 PC 2 上 的 网 卡 即 可 。 因 为 成 功 的 一 次 ping 过 程 都 是 有 去 有 回 
的 ， 所 以 从 PC 2 返回 到 PC 1 的 ping 数 据 包 也 就 是 沿 着 上 面 所 述 路 线 的 反方 向 返回 
即 可 。 而 且 ， 通 常 是 A 能 ping 通 B 的 情况 下 ，B 也 就 能 ping 通 A。 所 以 这 种 故障 是 
比较 奇怪 。 


4) 问 题解 决 过 程 


(1) 首 先 考虑 到 的 是 不 是 Cisco3750 上 的 路 由 引起 的 故障 。 所 以 就 把 PC 1 和 PC 
2 两 台电 脑 放置 到 同一 个 VLAN 中 ， 这 样 两 台 PC 之 间 的 ping 包 就 不 用 通过 路 由 传 
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输 。 但 是 放置 在 同一 个 VLAN 中 后 ， 上 面 的 故障 现象 依旧 ， 也 就 说 明 故 障 不 是 由 
Cisco3750 上 的 路 由 引起 的 。 


(2) 既 然 不 是 Cisco3750 上 的 路 由 引起 的 ， 那 很 可 能 故障 就 发 生 在 两 台 PC 上 。 
因为 连接 两 台 PC 和 Cisco3750 之 间 的 两 条 网 线 一 般 不 会 引起 这 种 ping 故 障 。 所 以 
就 另外 找 了 一 台 笔 记 本 电脑 PC 3， 用 它 替 代 了 PC 1 的 位 置 ， 而 且 让 PC 3 和 PC 1 上 
的 网 络 参数 配置 完全 一 样 ， 但 是 故障 现象 依旧 。 到 这 一 步 也 就 排除 了 故障 发 生 在 
PC 1 上 的 可 能 性 。 


(3) 既 然 故 障 不 在 Cisco3750 和 PC 1 上 ， 所 以 故障 很 有 可 能 就 出 在 PC 2 上 。 用 
PC 3 替换 了 PC 2 的 位 置 ， 同 时 调整 PC 3 上 的 网 络 参数 ， 让 它 和 PC 2 上 的 参数 完全 
一 样 。 结 果 发 现 故障 现象 消失 ，PC 1 能 ping 通 PC 3，PC 3 也 能 ping 通 PC 1。 所 以 
到 这 一 步 就 能 确定 故障 就 发 生 在 PC 2 上 了 。 


(4) 在 上 面 排查 故障 的 过 程 中 ，PC 1 和 PC 3 两 台电 脑 上 安装 的 操作 系统 都 是 
Windows XP 系统 ， 但 PC 2 上 使 用 的 是 Win 7 操作 系统 ， 难 道 和 操作 系统 有 关 ? 后 
来 想到 微软 在 开发 Win 7 时 ， 把 操作 系统 的 安全 性 又 进行 了 提升 。 而 且 常 常 微软 
操作 系统 的 防火 墙 功 能 会 引起 一 些 莫名 其 妙 的 故障 ， 所 以 故障 很 有 可 能 就 出 在 
Win 7 的 防火 墙 上 。 


在 PC 2 电脑 的 “控制 面板 ”一 “所 有 控制 面板 项 ”一 “Windows 防火 
墙 ” 一 “ 自 定 义 设置 ”中 ， 发 现 Win 7 操作 系统 “家 庭 或 工作 (专用 ) 网 络 ” 和 
“公用 网 络 ” 两 个 网 络 的 防火 墙 功能 都 是 打开 的 ， 如 图 8-2 所 示 。 


图 © 六 as 工 ff 用 mg 已 连接 四 
你 和 道上 信任 的 用 广 和 设备 所 在 的 赤 放 或 工作 网 络 ra 
Windows 防火 墙 状态 : 启用 
传 入 连接 : 组 止 所 有 与 未 在 允许 程序 列表 中 的 程序 的 连接 
活动 的 家 庭 或 工作 (专用 ) 网 络 : 铭 网 和 5 
通知 状态 : Windows 防火 墙 阻止 新 程序 时 通知 我 
-一 | 
图 马 人 ms 已 连接 四 
公共 场所 (例如 机 场 或 咖啡 店 ) 中 的 网 络 2 
Windows 防火 墙 状态 : 局 用 
传 入 连接 : 蛆 止 所 有 与 未 在 允许 程序 列表 中 的 程序 的 连接 
活动 的 公用 网 络 : 二 #RaI 的 网 络 
通知 状态 : Windows 防火 墙 阻 止 新 程序 时 通知 我 


图 8-2 PC 2 上 的 防火 墙 处 于 开启 状态 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 
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Cisco3750 PC 
图 8-4 Ping 实 例 二 网 络 结构 图 


2) 交 换 机 上 主要 配置 
网 络 设 备 Cisco3750 上 的 具体 配置 命令 如 下 所 示 : 


Cisco3750 (config) interface VLAN 20 

Cisco3750 (config-if)ip address 192.168.20.254 255.255.255.0 
// 配 置 Cisco3750 三 层 VLAN 20 的 TIP 地址 

Cisco3750 (config) interface VLAN 30 

Cisco3750 (config-if)ip address 192.168.30.254 255.255.255.0 
// 配 置 Cisco3750 三 层 VLAN 30 的 IP 地 址 
Cisco3750 (config) #interface GigabitEthernet1/0/1 
Cisco3750 (config-if)#switchport access VLAN 20 
Cisco3750 (config-if)#switchport mode access 

// 把 cisco3750 端 口 Gi1/0/1 划 入 到 VLAN 20 

Cisco3750 (config)#interface GigabitEthernet1/0/2 


Cisco3750 (config-if)#switchport access VLAN 30 
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Cisco3750 (config-if)#switchport mode access 
// 把 cisco3750 端 口 Gi1/0/2 划 入 到 VLAN 30 
Cisco3750 (config)#ip route 192.168.40.0 255.255.255.0 192.168.30.1 


// 在 Cisco3750 上 配置 到 网 络 192.168 .40.0/24 的 路 由 


3) 问 题 发 生 过 程 


从 图 8-4 中 可 以 看 出 ， 在 电脑 PC 上 ping 服 务 器 Server 的 数据 包 传输 总 共 进行 了 
一 次 路 由 ， 也 就 是 在 Cisco3750 上 进行 了 路 由 。 


在 PC 上 的 ping 包 首先 通过 网 卡 传输 到 Cisco3750 交 换 机 的 G1/0/1 端 口上 ， 交 
换 机 发 现 ping 包 所 要 到 达 的 目的 地 不 是 在 它 所 连接 的 网 络 中 ， 然 后 通过 查找 路 由 
表 (ip route 192.168.40.0 255.255.255.0 192.168.30.1)， 把 ping 数 据 包 传输 给 FW 的 
GigabitEthernet 1 端口 。 防 火 墙 收 到 ping 数 据 包 后 ， 发 现 ping 包 所 要 到 达 的 目的 地 
正 是 端口 GigabitEthernet 2 所 连接 的 VLAN 40 网 段 ， 所 以 它 就 直接 在 VLAN 40 中 
进行 了 广播 ， 最 终 服务 器 Server 也 就 收 到 了 ping 包 。 


在 PC 上 ping 服 务 器 Server 返 回 的 数据 包 路 线 正好 和 上 面 所 述 的 路 线 相反 。 按 
说 从 PC 上 能 ping 通 Server， 那 么 从 Server 上 也 就 能 ping 通 PC， 因 为 它们 的 数据 包 
所 走 的 路 线 都 是 一 样 的 。 但 事实 并 非 如 此 ， 在 图 8-4 所 示 的 实例 中 ，PC 能 ping 通 
Server， 但 在 Server 上 却 不 能 ping 通 PC。 


4) 问 题解 决 过 程 


(1) 因 为 从 服务 器 Server 上 ping 电 脑 PC 也 要 经 过 3 个 网 段 : VLAN 40、VLAN 
30 和 VLAN 20。 对 照 数据 包 传 输 的 路 径 一 个 个 检查 ， 先 在 Server 上 ping 防 火 墙 的 
GigabitEthernet 2 端口 ， 它 和 Server 的 网 卡 口 都 位 于 VLAN 40 中 ， 结 果 能 ping 通 。 
然后 再 在 服务 器 Server 上 ping 交 换 机 Cisco3750 的 G1/0/2 端 口 ， 此 端口 位 于 VLAN 
30 中 ， 也 是 从 Server 上 发 送 ping 包 所 要 经 过 的 端口 ， 结 果 能 ping 通 。 


(2) 从 上 面 (1) 中 可 以 看 出 从 Server 到 防火 墙 FW 和 交换 机 Cisco3750 的 网 络 都 是 
通 的 。 所 以 可 以 断定 从 Server 上 ping 不 通 PC 就 是 ping 数 据 包 到 达 Cisco3750 上 后 ， 
不 能 再 经 过 VLAN 20 把 数据 包 传输 给 电脑 PC。 造 成 这 种 问题 最 大 的 可 能 就 是 在 
防火 墙 FW 上 没有 进行 正确 的 路 由 配置 导致 的 。 
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(3) 登 录 到 防火 墙 设备 上 ， 查 看 设备 上 的 路 由 配置 ， 如 表 8-1 所 示 。 
表 8-1 防火 墙 FW 上 的 路 由 配置 


序号 目的 IP 地 址 目的 IP 地 址 子 网 掩 码 下 一 跳 地 址 


192. 168. 2.0 255. 255. 255.0 192. 168. 30. 254 
192. 168. 3.0 255. 255. 255.0 192. 168. 30. 254 
192. 168. 17.8 255. 255. 255. 255 192. 168. 30. 254 
192. 168.4.0 255. 255. 255. 0 192. 168. 30. 254 
192. 168. 12.0 255. 255. 255. 0 192. 168. 30. 254 


192. 168. 30. 254 

从 上 面 防火 墙 FW 上 的 路 由 表 可 以 看 出 ， 没 有 到 达 目 的 网 络 “192.168.20.0/24” 
的 路 由 ， 所 以 当 从 服务 器 Server 上 ping 电 脑 PC 的 数据 包 到 达 防 火 墙 后 ，FW 找 不 
到 对 应 的 路 由 就 把 ping 包 丢弃 了 ， 自 然 ping 包 也 就 传输 不 到 电脑 BC 了 。 

(4) 在 防火 墙 FW 上 添加 路 由 “ip route 192.168.20.0 255.255.255.0 
192.168.30.254”， 也 就 是 防火 墙 FW 收 到 要 到 达 网 络 “192.168.20.0/24” 的 数据 
包 后 ， 都 把 它 传输 到 Cisco3750 的 VLAN 30 的 三 层 端口 IP 地 址 为 192.168.30.254) 
上 。 添 加 路 由 后 服务 器 Server 也 能 成 功 ping 通 PC 了 。 


3. 总 结 


olals|lo|ld|- 


(]) 以 上 两 个 实例 都 推翻 了 网 络 运 维 工程 师 常 犯 的 一 个 错误 : 总 认为 “A 和 B 
两 个 终端 ，A 能 ping 通 B，B 就 肯定 能 ping 通 A”。 在 实例 一 中 是 因为 Win 7 操作 系 
统 的 防火 墙 ， 在 实例 二 中 是 因为 防火 墙 FW 的 原因 ， 而 导致 两 个 终端 之 间 不 能 互 
相 ping 通 。 这 也 说 明 在 目前 的 互联 网 环境 中 ， 随 着 安全 问题 的 日 益 突出 ， 安 全 产 
品 的 使 用 数量 也 越 来 越 多 ， 而 每 个 安全 产品 的 设计 和 工作 理念 都 不 一 样 ， 这 就 给 
我 们 网 络 运 维 工 程 师 带 来 了 巨大 挑战 。 要 求 在 工作 中 ， 一 定 要 针对 每 一 个 故障 
现象 和 细节 问题 认真 分 析 、 深 入 思考 ， 这 样 才能 真正 排除 掉 网 络 系统 中 的 安全 

(2) 通 过 深入 分 析 “ping 故 障 实例 二 ”， 我 们 还 能 发 现 有 一 个 细节 问题 ， 就 是 
电脑 PC 发 出 ping 服 务 器 Server 的 数据 包 ， 按 照 Cisco3750 和 防火 墙 FW 上 的 路 由 配 
置 ， 它 是 能 够 到 达 Server 上 的 ， 但 是 每 个 ping 包 都 是 一 个 环 路 ， 有 去 有 回 的 。 那 
当 从 Server 返 回 的 ping 包 ， 它 是 怎么 到 达 PC 的 ， 因 为 在 防火 墙 FW 上 并 没有 配置 
到 PC 所 在 VLAN 20 的 路 由 。 
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这 其 实 也 涉及 到 目前 绝 大 多 数 防 火 墙 产 品 在 设计 上 的 一 个 理念 ， 那 就 是 防 
火 墙 的 “记忆 ”功能 。 也 就 是 当 PC 发 出 ping 服 务 器 Server 的 数据 包 后 ， 它 能 记 住 
ping 数 据 包 来 时 的 路 线 。 然 后 ， 当 防火 墙 FW 再 次 收 到 从 Server 返 回 的 数据 包 后 ， 
它 能 把 数据 包 按 照 自己 起 初 记忆 的 线路 ， 再 沿 着 反方 向 把 数据 包 从 指定 的 端口 传 
送出 去 。 所 以 ， 网 络 运 维和 人 员 若 是 没有 理解 这 点 的 话 ， 也 是 很 难 明白 防火 墙 的 工 
作 过 程 。 


(3)PING(Packet Internet Grope)， 因 特 网 包 探 索 器 ， 是 DOS 命 令 ， 可 以 检查 
网 络 的 连通 性 ， 能 够 很 好 地 分 析 判 定 网 络 故障 。ping 命 令 还 可 以 结合 多 个 参数 使 
用 ， 只 要 键入 ping 按 回 车 即 可 看 到 各 个 参数 的 详细 说 明 。 但 是 某 些 病 毒 木马 会 强 
行 大 量 远 程 执行 ping 命 令 抢 占 网 络 资源 ， 导 致 系统 、 网 速 变 慢 。 所 以 ， 许 多 操作 
系统 把 严禁 ping 入 侵 作为 大 多 数 防火 墙 的 一 个 基本 功能 提供 给 用 户 进行 选择 。 通 
常 的 情况 下 如 果 电 脑 不 用 作 服 务 器 或 进行 网 络 测试 ， 就 可 以 禁用 ping 功 能 ， 从 而 
达到 保护 电脑 的 目的 。 一 般 执 行 ping 命 令 ， 得 到 的 反馈 信息 有 以 下 几 种 情况 : 


(DRequest timed out( 请 求 超时 )。 收 到 此 类 反馈 信息 一 般 是 由 四 种 情况 造成 ; 
一 是 对 方 已 关机 ， 或 者 网 络 上 根本 没有 这 个 地 址 。 二 是 对 方 与 自己 不 在 同一 网 
段 内 ， 通 过 路 由 也 无 法 到 达 对 方 ， 但 有 时 对 方 确实 是 存在 的 ， 当 然 不 存在 也 是 返 
回 超时 的 信息 。 三 是 对 方 确实 存在 ， 但 设置 了 ICMP 数 据 包 过 滤 。 不 过 ， 要 想 知 
道 对 方 是 存在 ， 还 是 不 存在 ? 可 以 用 带 参数 “-a” 的 ping 命 令 探 测 对 方 ， 如 果 能 
得 到 对 方 的 NETBIOS 名 称 ， 则 说 明 对 方 是 存在 的 ， 是 有 防火 墙 设置 ， 如 果 得 不 
到 ， 多 半 是 对 方 不 存在 或 关机 ， 或 不 在 同一 网 段 内 。 四 是 设置 了 错误 的 JP 地址 。 
正常 情况 下 ， 一 台 主 机 应 该 有 一 个 网 卡 、 一 个 JP 地 址 、 或 多 个 网 卡 、 多 个 IP 地 
址 。 若 是 多 个 耳 地 址 的 话 ， 这 些 地 址 一 定 要 处 于 不 同 的 卫 子 网 。 但 如 果 一 台电 脑 
在 网 络 适配器 的 TCP/IP 配 置 中 ， 设 置 了 一 个 与 另外 一 个 网 卡 的 耳 地 址 相同 的 子 网 
中 ， 这 样 在 卫 层 协议 看 来 ， 这 台 主 机 就 有 两 个 不 同 的 接口 处 于 同一 网 段 内 ， 同 样 
也 会 导致 ping 超 时 的 后 果 。 

@Destination host Unreachable( 目 的 主机 不 可 达 )。 当 对 方 与 自己 不 在 同一 
网 段 内 ， 而 自己 又 未 设置 默认 的 路 由 ， 就 会 出 现 此 种 信息 提示 。“Destination 
host Unreachable” 和 “Time out” 还 是 有 区 别 的 ， 如 果 所 经 过 路 由 器 的 路 由 表 中 
具有 到 达 目 标的 路 由 ， 而 目标 因为 其 他 原因 不 可 到 达 ， 这 时 候 就 会 出 现 “time 
out”。 如 果 路 由 表 中 连 到 达 目 标的 路 由 都 没有 ， 就 会 出 现 “destination host 
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unreachable”。 


@Unknown host( 不 知名 主机 )。 这 种 出 错 信息 的 意思 是 ， 该 远程 主机 的 名 字 
不 能 被 域名 服务 器 DNS 转换 成 卫 地 址 。 故 障 原因 可 能 是 域名 服务 器 故障 ， 或 者 其 
名 字 不 正确 ， 或 者 网 络 管理 员 的 系统 与 远程 主机 之 间 的 通信 线路 有 故障 。 


@No answer( 无 响应 )。 这 种 故障 说 明 本 地 系统 有 一 条 通 向 中 心 主机 的 路 由 ， 
但 却 接收 不 到 它 发 给 该 中 心 主机 的 任何 信息 。 故 障 原因 可 能 是 中 心 主机 没有 工 
作 ， 本 地 或 中 心 主机 网 络 配置 不 正确 ， 本 地 或 中 心 的 路 由 器 没有 工作 ， 通 信 线 路 
有 故障 ， 或 中 心 主机 存在 路 由 选择 问题 等 。 


(4)Win 7 操作 系统 安全 性 。“ping 故 障 实例 一 ”就 是 因为 Win 7 中 的 防火 墙 设 
置 不 正确 而 引起 的 。Win 7 操作 系统 不 但 改进 了 安全 和 功能 的 合法 性 ， 而 且 把 数 
据 的 保护 和 管理 扩展 到 了 外 围 设备 。 还 改进 了 基于 角色 的 计算 方案 和 用 户 账 户 管 
理 ， 在 数据 保护 和 坚固 协作 的 固有 冲突 之 间 搭 建 了 沟通 桥梁 ， 同 时 也 开启 了 企业 
级 的 数据 保护 和 权限 许可 。 


在 Win 7 以 前 的 操作 系统 中 ， 一 般 也 有 自 带 的 防火 墙 ， 但 功能 简单 ， 一 般 被 
视 为 鸡肋 。 而 Win 7 的 防火 墙 做 了 很 大 改进 ， 在 功能 上 更 加 强大 。 它 最 大 特点 是 
内 外 兼 防 ， 通 过 “家 庭 或 者 工作 网 络 ” 和 “公用 网 络 ” 两 个 方面 来 对 计算 机 进行 
防护 。 尤 其 是 “高 级 设置 ”里 面 功能 更 加 全 面 ， 可 以 与 一 般 的 专业 防火 墙 软件 相 
媲美 ， 通 过 入 站 与 出 站 规则 可 以 设置 应 用 程序 访问 网 络 的 情况 。 另 外 监视 功能 可 
以 清晰 反映 出 当前 网 络 流通 的 情况 ， 还 可 以 设置 自 定义 的 入 站 和 出 站 规则 。 


8.2” 运 维 实例 : 两 则 Teinet 故 障 排查 实例 


网 络 结构 图 如 图 8-5 所 示 。 为 了 确保 重要 设备 的 稳定 性 和 元 余 性 ， 核 心 层 交 
换 机 使 用 两 台 Cisco4506， 通 过 Trunk 线 连接 。 在 汇聚 层 和 接 入 层 分 别 使 用 了 多 
台 Cisco3750、Cisco3560 交 换 机 ， 图 示 为 了 简洁 ， 都 只 画 出 了 两 台 。 单 位 也 地 
址 的 部 署 ， 使 用 的 是 C 类 私有 192 网 段 的 地 址 。Cisco4506 和 Cisco3750 之 间 以 及 
Cisco3750 和 Cisco3560 之 间 都 是 Trunk 连 接 。 
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/时 全 ¢ 马 [mh / 避 加 ¢ [= 蕊 

昌 ) \、 旦  、 旦 ， 、 昌 . 

用 户 组 用 户 组 用 户 组 用 户 组 
图 8-5 网络 结构 图 


根据 部 门 性 质 的 不 同 ， 把 不 同 部 门 划 入 到 不 同 的 VLAN 中 。 服 务 器 都 
部 署 于 VLAN 5~VLAN 10 中 ， 对 应 的 网 络 号 是 192.168.5.0 一 192.168.10.0， 
如 FTP 服 务 器 位 于 VLAN 5 中 。 服 务 器 的 IP 地 址 、 默 认 网 关 和 DNS 都 是 静 
态 配置 的 。VLAN 11~VLAN 200 是 属于 各 个 部 门 使 用 ， 对 应 的 网 络 号 是 
192.168.11.0 一 192.168.200.0。VLAN 号 和 网 络 号 之 间 都 是 对 应 的 。VLAN 中 的 PC 
连接 到 Cisco3560， 通 过 Cisco3750 接 入 到 核心 交换 机 。Cisco3750 和 Cisco3560 都 
是 二 层 配置 ， 三 层 的 配置 都 在 Cisco6506 上 ， 也 就 是 VLAN 间 的 路 由 都 是 通过 6506 
完成 的 。PC 的 卫 地 址 、 默 认 网 关 和 DNS 都 是 自动 从 DHCP 服 务 器 上 获得 的 ， 不 用 
手工 静态 配置 。 


1. Telnet 故 障 实例 一 


如 图 8-6 所 示 ， 是 Telnet 故 障 实例 一 所 涉及 到 的 网 络 部 分 。 设 备 间 的 连接 情况 
如 下 所 示 : 


Cisco4506 GigabitEthernet 3/1 <----- > Ciaco3750 
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// 配 置 Cisco4506 端 口 Gi3/1 为 Trunk 模 式 

Cisco4506 (config) interface VLAN 2 

Cisco4506(conftig=-it)ip address 192.168.2.254 255.255.255.0 
// 配 置 cisco4506 的 VLAN 2 的 TP 地址 

Cisco4506 (config) interface VLAN 11 

Cisco4506 (config-if) ip address 192.168.11.254 255.255.255.0 


// 配 置 cisco4506 的 VLAN 11 的 IP 地 址 


在 Cisco3750 上 的 配置 命令 如 下 所 示 : 


Cisco3750 (config)#interface GigabitEthernet1/0/1 
Cisco3750 (config-if)# switchport trunk encapsulation dotlq 
Cisco3750 (config-if)#switchport trunk allowed VLAN all 
Cisco3750 (config-if)#switchport mode trunk 

// 配 置 Cisco3750 端 口 Gi1/0/1 为 Trunk 模 式 

Cisco3750 (config)#interface GigabitEthernet1/0/25 
Cisco3750 (config-if)# switchport trunk encapsulation dotlqg 
Cisco3750 (config-if)#switchport trunk allowed VLAN all 
Cisco3750 (config-if)#switchport mode trunk 

// 配 置 Cisco3750 端 口 Gi1/0/25 为 Trunk 模 式 

Cisco4506 (config) interface VLAN 2 

Cisco4506 (config-if) ip address 192.168.2.2 255.255.255.0 


// 配 置 Cisco3750 管 理 IP 地 址 
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在 Cisco3560 上 的 配置 命令 如 下 所 示 : 


Cisco3560 (config) #interface GigabitEthernet1/0/1 
Cisco3560 (config-if)# switchport trunk encapsulation dotlq 
Cisco3560 (config-if)#switchport trunk allowed VLAN all 
Cisco3560 (config-if)#switchport mode trunk 

// 配 置 Cisco3560 端 口 Gi1/0/1 为 Trunk 模 式 

Cisco3560 (config)#interface GigabitEthernet1/0/24 
Cisco3560 (config-if)#switchport access VLAN 2 

Cisco3560 (config-if)#switchport mode access 


// 把 cisco3560 端 口 Gi1/0/24 划 入 到 VLAN 2 


Cisco4506 交 换 机 上 启用 了 三 层 路 由 功能 ， 这 样 不 同 VLAN 中 的 数据 终端 要 
相互 通信 的 话 必须 经 过 4506 路 由 后 ， 数 据 才能 传输 到 目的 地 。 例 如 ， 位 于 VLAN 
11 中 的 PC 要 访问 VLAN 2 中 的 终端 ， 那 PC 发 出 的 数据 包 就 先 要 到 达 Cisco4506 的 
三 层 VLAN 11 端 口 ， 然 后 4506 查 找 它 的 路 由 表 ， 发 现 数 据 包 的 目的 地 址 是 要 到 
达 VLAN 2， 根 据 路 由 表 中 的 下 一 条 地 址 ， 它 就 把 数据 包 发 送 到 4506 上 的 三 层 
VLAN 2 端口 ， 最 后 到 达 目 的 终端 。Cisco3750 和 Cisco3560 都 是 二 层 配 置 ， 没 有 启 
用 它 的 三 层 功 能 ， 也 就 是 三 层 交 换 机 当 二 层 交 换 机 使 用 。 

根据 上 面 的 描述 ， 按 道理 这 时 在 电脑 PC 的 “命令 行 ” 中 执行 命令 “telnet 
192.168.2.2” 后 ， 就 能 登录 到 Cisco3750 上 ， 因 为 卫 地 址 192.168.2.2 是 3750 的 管 
理 地 址 。 但 结果 没 能 登录 成 功 ， 并 且 还 发 现 三 点 奇怪 的 现象 : 一 是 在 PC 的 “ 命 
令 行 ” 中 执行 命令 “telnet 192.168.2.254” 却 能 登录 成 功 ， 也 就 是 说 从 PC 上 能 
成 功 Telnet 到 Cisco4506 上 ， 却 Telnet 不 上 Cisco3750 上 ; 二 是 在 Cisco4506 上 也 能 
Telnet 到 Cisco3750 上 ， 也 就 是 在 4506 上 执行 命令 “Cisco4506#telnet 192.168.2.2” 
却 能 成 功 登 录 到 3750; 三 是 在 PC 上 能 ping 通 4506 上 接口 VLAN 2 的 IP 地 址 
192.168.2.254， 但 ping 不 通 3750 的 IP 地 址 192.168.2.2。 如 下 所 示 是 在 PC 的 “命令 
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让 1 ms <1 毫秒 ”<1 毫秒 PCoS-2011030WR [192.168.11.254] 
有 入 请 求 超时 
3 * * x 请 求 超时 


上 面 的 输出 在 第 “3” 行 的 下 面 本 来 还 有 很 多 ， 都 省 略 了 。 因 为 数据 包 不 能 
成 功 到 达 目 的 地 192.168.2.2， 所 以 它 只 能 像 第 “3” 行 那样 往 下 延续 地 输出 。 从 
输出 的 结果 可 以 看 出 ，PC 上 发 出 的 数据 包 只 能 到 达 Cisco4506 上 ， 因 为 第 “1” 
行 输出 中 的 192.168.11.254 就 是 4506 上 VLAN 11 的 IP 地 址 。 然 后 ，Telnet 数 据 包 从 
4506 上 ， 就 不 能 路 由 到 Cisco3750 上 ， 因 为 从 第 “2” 行 输出 ， 一 直 返 回 不 到 数据 
包 。 所 以 可 以 确定 Telnet 故 障 的 部 位 就 在 Cisco4506 和 Cisco3750 之 间 ， 又 因为 用 户 
的 PC 可 以 正常 访问 网 络 ， 所 以 又 可 以 排除 是 网 络 线路 的 故障 。 


最 终 认为 可 能 是 Cisco3750 上 的 故障 ， 查 看 3750 的 配置 文件 ， 发 现 其 中 没 
有 默认 路 由 的 配置 ， 也 就 是 没有 类 似 “ip default-gateway” 和 “ip route 0.0.0.0 
0.0.0.0” 的 命令 ， 这 两 个 命令 前 者 是 在 三 层 交 换 机 关闭 路 由 功能 或 者 路 由 功能 模 
块 损坏 的 情况 下 才 有 效 ， 而 后 者 是 启用 了 三 层 交 换 机 的 路 由 功能 后 ， 配 置 默 认 
网 关 的 命令 。 两 个 命令 的 功能 都 是 一 致 的 ， 路 由 器 在 路 由 表 中 找 不 到 对 应 的 路 由 
项 ， 就 会 依照 默认 网 关 把 数据 包 发 送出 去 。 


既然 Cisco3750 上 没有 配置 默认 网 关 ， 所 以 从 PC 上 发 出 的 Telnet 数 据 包 ， 通 过 
Cisco4506 路 由 ， 最 终 到 达 Cisco3750 上 后 ， 它 不 知道 怎样 把 数据 包 发 送出 去 ， 因 
为 交换 机 根本 就 没有 配置 这 方面 的 命令 。 所 以 它 只 能 把 Telnet 数 据 包 作 丢 弃 处 理 。 
最 终 电 脑 PC 也 就 收 不 到 Cisco3750 返 回 的 数据 包 ， 导 致 不 能 ping 和 Telent 成 功 。 


在 Cisco3750 上 执行 命令 “Cisco3750(config)#ip default-gateway 
192.168.2.254” 后 ，PC 可 以 正常 登录 到 3750 上 ， 故 障 消失 。 


2. Telnet 故 障 实例 二 


如 图 8-7 所 示 ， 是 公司 的 一 台 Cisco3750 发 生 故 障 ， 需 要 登录 到 交换 机 上 
排除 故障 的 网 络 图 示 。 网 络 的 连接 非常 简单 ， 就 是 用 一 台 PC 通 过 网 线 连 接 到 
Cisco3750 上 。 其 中 PC 的 IP 地 址 为 192.168.2.9， 子 网 掩 码 为 255.255.255.0， 它 通 
过 Cisco3750 的 Gi1/0/24 和 交换 机 相连 。 其 实 要 对 Cisco3750 进 行 配 置 ， 可 以 用 
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C:\Users\Administrator>ping 192.168.2.3 
正在 Ping 192.168.2.3 具有 32 字 节 的 数据 : 

来 自 192.168.2.3 的 回复 : 字 节 =32 时 间 <lms TTL=255 
来 自 192.168.2.3 的 回复 : 字 节 =32 时 间 <lms TTL=255 
来 自 192.168.2.3 的 回复 : 字 节 =32 时 间 <lms TTL=255 
来 自 192.168.2.3 的 回复 : 字 节 =32 时 间 =lms TTL=255 
192.168.2.3 的 Ping 统计 信息 : 


数据 包 : 已 发 送 = 4, 已 接收 = 4， 丢失 = 0 (0% 丢失 ) ， 往 返 行程 的 
估计 时 间 (以 毫秒 为 单位 ) :最 短 = 0ms， 最 长 = lms, 平均 = 0ms 


从 上 面 的 输出 可 以 看 出 PC 和 Cisco3750 之 间 的 网 络 是 通 的 ， 因 为 可 以 ping 
通 。 所 以 觉得 不 能 Telnet 成 功 ， 故 障 还 是 出 在 Cisco3750 交 换 机 上 ， 进 一 步 查看 配 
置 文件 ， 发 现在 虚拟 端口 的 配置 中 有 一 项 “transport input none”， 如 下 所 示 : 


line vty 0 4 

password 7 121254631595C517E 
transport input none 

login 

line vty 5 15 

password 7 121254631595C517E 
transport input none 


login 


查 资料 发 现 命令 “transport input none” 的 作用 是 不 允许 任何 协议 和 这 人 台 交 换 
机 建立 连接 ， 即 用 户 不 能 远程 登录 到 这 人 台 交 换 机 了 。 问 题 应 该 就 出 在 这 里 ， 在 虚 
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8.3 ” 运 维 实例 : UDP/TCP 调 试 助手 应 用 


UDP/TCP 调 试 助手 是 一 个 辅助 调试 UDP/TCP 的 工具 软件 ， 支 持 TCP Server、 
TCP Client、UDP 通 信 模 式 ， 为 网 络 调试 提供 了 极 大 的 方便 。 它 也 是 一 款 绿色 软 
件 ， 只 需 把 程序 拷贝 到 电脑 上 就 能 使 用 ， 如 图 8-8 所 示 。 


本 地 IP: 169.254.25.26 无 连接 


图 8-8 TCP 调试 助手 V19 
运行 平台 : Windows XP/2003/Vista/7 
软件 授权 : 免费 软件 /调试 工具 
软件 大 小 : 1550KB 


首先 ， 若 要 测试 网 络 上 两 个 终端 的 TCP 服 务 是 否 正 常 ， 只 需 在 两 个 终端 上 
分 别 选择 好 调试 助手 的 Client 和 Server 模 式 。 在 TCP Client 一 端 ， 要 填 上 “远程 主 
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机 ”的 也 地 址 ，“ 远 程 端 口 ” 号 。 在 TCP Server 一 端 ， 要 填 上 “远程 主机 ”IP 地 
址 ，“ 本 地 端口 ”号 。 测 试 时 ， 首 先 在 Server 端 的 UCP/TCP 调 试 助 手 上 单 击 “ 开 
始 监听 ”， 然 后 在 Client 端 的 UCP/TCP 调 试 助手 上 单 击 “ 连 接 网 络 ”。 然 后 在 两 
个 终端 上 的 调试 助手 的 对 话 框 中 就 可 以 发 送 一 些 文字 来 测试 网 络 的 TCP 服 务 是 否 
正常 。 其 次 ， 若 要 测试 两 个 网 络 终端 的 UDP 服务 是 否 正 常 ， 只 需 在 两 端 调 试 助手 
的 “远程 主机 ”、“ 远 程 端口 ”和 “本 地 端口 ”输入 对 应 的 参数 ， 然 后 单 击 “ 开 
启 UDP”， 就 可 以 测试 UDP 服务 了 。 


